Microsoftが秘密にしていたOffice 365用のAPIの存在が明らかになる

By selfthy

Office 365は場所や端末を問わずWordやExcelのファイルを共同編集したり、Outlookでメールを確認したりできることから、ビジネス用途で幅広く使用されています。しかし、アカウントが乗っ取られてしまうことで、機密情報を奪われてしまう可能性もあり、Office 365は便利な反面、セキュリティ被害を受ける可能性が高いという問題がありました。セキュリティ企業LMG SecurityのCEOであるシェリー・ダビドフ氏によると、2018年6月18日に存在が明らかになったAPIにより、その脅威を軽減できるかもしれないとのことです。

Exposing the Secret Office 365 Forensics Tool | LMG Security : LMG Security
https://lmgsecurity.com/exposing-the-secret-office-365-forensics-tool/

今回存在が明らかになったAPIは、Office 365のActivities APIです。このAPIを使用することで、Office 365のメールボックスで行われた処理の内容を詳細に調べることが可能になりました。このツールにより、監査ログ機能を有効にしなくても、直近6カ月間に操作された内容を調べることができるようになったため、ダビドフ氏は「これは大きなニュースです」と語っています。

ダビドフ氏はActivities APIの利点について「特に弁護士との契約やOffice 365で詳細なデータを記録する監査ログサポートを契約するのが、厳しい企業には非常に大きな効果を発揮することになります」として、予算のない小規模な企業には非常に有用であると説明しています。

Activities APIは以前から存在していましたが、MicrosoftはAPIの存在を秘密にしていました。なぜ、このAPIが明らかになったのか、ダビドフ氏がその経緯を説明しています。

これまで、世界中のハッカーたちはOffice 365のメールアカウントを「何らかの手段」で取得して、企業の機密情報や社員の個人情報を奪ってきました。当然、ハッカーの侵入に気づいた企業は「ハッカーは何を見て、何を奪っていったのか」の調査を行うことになります。ここで、ログなどの調査でデータ漏えいの事実がないことが明らかになれば、公表の義務は発生せず、企業にダメージはありません。

しかし、Office 365の場合、ログ機能がデフォルトで有効になっていないため、メールボックス内で行われた作業履歴は残っていません。このため、企業がハッカーによる侵入後、何一つ被害がなかったとしても、被害がないことを証明できない企業は、データ漏えいがあったことを公表する義務が発生します。当然、データ漏えいを公表した企業は罰金やデータ漏えいに伴う対応費用、企業イメージの低下など大きな損害を受けるという現状がありました。

ある日、ダビドフ氏は大企業の法務のマネージャーから「Office 365の秘密ツールがあるようなのですが」という質問を受けました。当時は秘密ツールについて何も知らなかったダビドフ氏ですが、のちに「Microsoftのプログラマーが法律事務所に転職後、秘密のツールを使っている」という噂を聞きつけて、興味を持つようになります。

自社でMicrosoftのITチームと打ち合わせをする機会があったことから、ダビドフ氏は「会話は記録しない」という条件のもと、部下2人を通じてOffice 365の開発者など複数人に秘密のツールの存在を確認しました。しかし、全員が「知らない」と回答し、部下も「ウソをついているようには見えなかった」と証言しました。それでも諦めきれないダビドフ氏は「ツールの存在を知っている」という弁護士に相談し、実際に、5つの法律事務所でツールが使われているという情報を手に入れます。さらに調査を重ねたダビドフ氏は2018年6月8日、とうとうActivities APIの存在を突き止めました。

この10日後の6月18日にCROWDSTRIKEが、Activities APIに関するブログ記事とログ検索用のPythonモジュールを公開しました。ダビドフ氏率いるLMG Securityのチームも公開されたPythonモジュールを導入し、テスト用の環境でActivities APIの実力を検証することにしました。

すると、Office 365のメールボックス内を「請求書(invoice)」や「支払い(payment)」のキーワードで検索した検索履歴や……

ログイン履歴や接続元IPアドレスの情報なども表示されることを確認し、ダビドフ氏は「有用なツールだ」と確信したそうです。

ダビドフ氏は「Activities APIはMicrosoftの一部の人間と一部の法律事務所にしか存在が知られておらず、このAPIの存在を知らない人はログを取得するために、高額のサービスを契約する必要があります」と語っており、ハッキングの脅威を防ぐためにログ提供サービスを受けることは、予算の少ない企業には厳しい現状があると指摘。そこで、同氏は「LMG Securityは、このツールの存在について積極的に開示していきます」と発言しており、LMG SecurityがCROWDSTRIKEのPythonモジュールを活用したラッパーツールをGitHubで公開したことも発表しています。