Mitigaの研究者は、すべてのGoogleドライブユーザーが「クラウドアイデンティティフリー」と呼ばれるライセンスから始めることを発見しました。より多くの機能のロックを解除するには、管理者が Google Workspace Enterprise Plus などの有料ライセンスをユーザーに割り当てる必要があります。有料ライセンスが割り当てられると、「ドライブのログイベント」機能を使用して、ファイルの削除、コピー、ダウンロード、共有などの従業員のアクティビティが綿密に監視され、文書化されます。
従業員の有料ライセンスが剥奪されたり付与されなかったりした場合、特に従業員が解雇に直面している場合は、重大なリスクが発生します。従業員のGoogleアカウントが無効または削除される前にライセンスが取り消されると、従業員は通知をトリガーすることなく、個人のドライブからファイルに密かにアクセスしてインストールできるようになります。これにより、不満を抱いた元従業員が報復的な違反を通じて機密データを公開し、全体としてインサイダーの脅威になる機会が生まれます。
Mitigaは、Google Workspaceで有料ライセンスを持っていない個人が共有ドライブを表示する機能を保持していることを明らかにしました。共有ドライブからプライベートストレージにすべてのファイルを自由に複製してインストールでき、識別可能なログやトレースは残されません。これにより、潜在的な脅威アクターは、貴重なデータの不正取得後に自分の痕跡を隠すという利点が得られます。
懸念は、Googleドライブで採用されているロギングメカニズムを中心に展開しています。このプロセスには、ファイル・コピー・アクティビティーに関連する「コピー」と「source_copy」という 2 つの異なるタイプのログ・レコードが含まれます。有料ライセンスを持たないユーザーは、組織内のクラウドストレージにアクセスするときにのみ「source_copy」レコードを生成するように制限されます。ユーザーの個人ドライブからのダウンロードアクションの包括的なログ記録がないため、企業がデータ盗難に関連する「source_copy」インシデントを見落としながら「コピー」イベントの検出のみに焦点を当てている場合、データ流出のインスタンスを特定できません。
Mitigaは、この脆弱性についてGoogleに通知する努力をしたが、ハイテク巨人から公式の回答を受け取っていないと主張している。サイバーセキュリティアナリストは、Googleのセキュリティチームが、過去の勧告を利用して、セキュリティ上の懸念事項としてのフォレンジックの欠陥の重要性を見落としがちであることを示唆しています。
Google Workspace のデフォルトのライセンス設定の脆弱性により、企業の機密データがインサイダーの脅威にさらされる可能性が懸念されます。組織はアクセス制御とユーザー管理プロセスを見直し、クラウドリソースへの不正アクセスを防ぐためにライセンスが適切に割り当てられ、取り消されていることを確認する必要性を強調しています。