Swayで怪しく見えなくする

ほぼこもセキュリティニュース By Terilogy Worx

SwayというのはMicrosoft Swayのことです。
SwayはMicrosoft 365のなかのアプリの一つです。
プレゼンテーションを行うアプリだと説明されることがあります。
対話型のレポート、プレゼンテーション、パーソナル ストーリーなどを作成するための使いやすいデジタルストーリーテリングアプリだともいわれます。
これ、見方によってはWordPressやWix、古くはMobable Typeのようなコンテンツ管理システムだといえます。

新しい製品ですので、いろいろと魅力的な機能がついています。
自動でアニメーション効果をつけることができたり、PowerPointの資料を読み込むとそれをもとにコンテンツを作ってくれたり、デザインの変更も簡単にできたりします。

まあ、それは別にそれでよいのです。
使いやすいアプリがあるのは便利でよいことです。
しかもこのアプリはMicrosoft 365のアカウントがあれば無償で利用することができるようになっています。
オンラインでMicrosoft 365にログインすればコンテンツを作ったり公開したりすることができます。

Swayで作成したコンテンツはWebコンテンツとして公開されます。
公開される際のURLは次のような形式です。
「https://sway.office.com/16文字のランダムな文字列」
このURLを見て怪しいものであると判定できるでしょうか。
「sway.office.com」はMicrosoftの正規の証明書が設置された正規のWebサイトです。
URLのそのほかの構成要素はランダム文字列しかありません。
ここがポイントです。

こんな感じで悪用されます。

  • Swayにログインする
    侵害したMicrosoft 365アカウントでもいいですし、攻撃者の用意したアカウントでもいいです。
  • Swayページを作成または編集する
  • Swayページにフィッシングリンクを含むMicrosoftがサポートするドキュメント(.docx、.xlsx、.pptx、.pdfファイルなど)を埋め込む
  • 見栄えをそれっぽくする
  • 他の人にSwayページのURLを共有する
    他の人というのは攻撃者が被害者にしたいと思っている対象です。
  • 被害者はURLを閲覧する
    入手したURLを閲覧します。
    給与明細などの内容を確認したいものがそこにあると表示されます。
    しかしこれは外部サイトへの参照になっています。
    外部サイトのコンテンツはフィッシングページです。
    普通は外部サイトに移ろうとする際には警告が表示されます。
    これは一定の効果があります。
    しかしこの攻撃では攻撃者がMicrosoft Sway内の埋め込みメソッドを使用して、警告ポップアップなしでユーザーをフィッシングサイトに移動させることができるようにしています。
    被害者は警告なしでフィッシングサイトに移動します。
  • 被害者はログインする
    被害者となる人はSwayのURLだと思っているコンテンツを見たいと思っています。
    SwayはMicrosoft 365のなかのアプリの一つですので、閲覧前にMicrosoft 365の認証が求められることに不安感は少ないです。
    この認証の画面は実はフィッシングサイトです。
    ここで入力した資格情報は攻撃者に届けられます。

ここにあげた以外にもSwayの悪用方法がいくつか確認されています。
論理的に同じ方法で、マルウェアを配布することもできます。

ドメイン名に怪しい部分がありません。
警告画面も表示されません。
これは厳しいです。
さて、どうやって対策できるでしょうか。

参考記事(外部リンク):Proofpoint Analyzes Potentially Dangerous Functionality in
Microsoft Sway That Enables Phishing and Malware Delivery

www.proofpoint.com/us/blog/cloud-security/proofpoint-analyzes-potentially-dangerous-functionality-microsoft-sway-enables