Yamrix

Office 365、SharePoint Online、Power BI などなどのメモ

謎の監査ログ と Office ProPlus 驚愕の機能な件

全国的に悪天候のなか、皆さんお元気でしょうか。こんにちわ。

支部長的なポジションで(いちおう?)当方主催な『Power BI 勉強会@名古屋支部 #02』を7/28(土) 名古屋にて開催します。なので、Power BI ネタを継続しようと思っていたのですが「これは広く周知されるべきでは?」という発見があったため、今回はOffice 365 ネタをお伝えしたいと思います。

 

 

 

■謎の(?)監査ログ

さて、皆さん、次に示すイメージをご確認ください。何か違和感を感じませんでしょうか?

 

f:id:yamad365:20180707102852p:plain

 

もうね、偶然コレを見つけたんですが驚愕しました。

 

Office 365の管理者権限が無いと閲覧できない場所なので、一般利用者では観たコトない画面かもしれません。これは「監査ログ」とよばれる機能を利用して確認できる詳細情報の画面です。[ファイルの削除]について検索した結果で「SharePoint Online (以降、SPO)サイトにあるドキュメントライブラリから”Annnai.docx”というファイルが削除されたよ」というログです。監査ログを閲覧したことがなくても、なんとなく分かる方もいるような・・・。

 

さて、違和感とは?
当方が驚愕した事実とは?
いったい何でしょう・・・。

 

 

 

と、その前に。「前フリ要らないから、結論が欲しい」て方は、目次から好きなセクションへ飛んでください。

 

 

■驚愕の正体

先ほどのイメージ [User Agent:] にご注目ください。

 

f:id:yamad365:20180707092308p:plain

 

 _人人人人人人人人人人人_
>             <
>  Microsoft Office/16.0    <
>             <
  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄

 

Microsoft Office/16.0” って!?!?
Microsoft Office/16.0”とは?これ、Office 2016 のコトです。つまり「Office のアプリ(今回の場合Word)を利用して、SPOのドキュメントライブラリ上にあるファイルを直接削除した」というログになります。な・・・なん・・・だとッ!?

 

比較のために、Google Chrome で削除した際のログがこちら。

f:id:yamad365:20180707092832p:plain

 

[User Agent:] は”Mozilla/5.0”ですね。ブラウザーの名前とVerです。Webシステム等を経験されたコトがある方であれば、おなじみのヤツかと思います。ブラウザーを利用した場合、User Agent(ユーザーエージェント)はブラウザー名になります。Office アプリの名前が登場するハズが無いのです・・・。

なぜこんなことが・・・。

 

■原因

前置きが長くなりましたが、原因です。おそらく、この時点でなんとなくお察しの方がおみえになるかもしれませんが、ネタバレいきます。

 

Office 2016 のアプリケーションから、SPOのアイテムが直接削除できるようになってしまっているんです。監査ログがバグってるワケではない。再現手順は下記。

 

■再現手順

  1. SPOのドキュメントライブラリから、直接Officeファイルを開く
    (今回、検証したのは Word です。Excel でも何でも一緒です。)

  2. 開いているファイルを、開いているアプリケーションからは削除できないので、ファイルを閉じる

  3. 手順1で利用したアプリケーション(今回はWord)を再度、起動して何でも良いので新規作成

  4. メニューの[ファイル] → [開く] の画面に注目。
    先ほど利用したアイテムが”文章”というセクションに表示されているハズなので、それを右クリック

    f:id:yamad365:20180707103307p:plain

  5. 驚愕の右クリックメニューを観察ください・・・

    f:id:yamad365:20180707094144p:plain

  6. この [ファイルの削除] を押下すると、該当ファイル(今回の場合はSPO上のアイテム)がOffice アプリケーションから削除されます

 

((((;゚Д゚))))ガクガクブルブル

 

■驚愕している理由(または容易に想定される恐怖)

実は、前述のオペレーションで削除できるのは、SPOのアイテムだけではありません。ローカルのファイルだろうが、ファイルサーバーのアイテムだろうが、権限さえあれば何でもOffice アプリケーションの履歴(?)画面から削除することができてしまうのです。

 

これ、怖くないですか?

 

一応、格納場所(パス)がファイル名の下に表示されているとはいえ、一般利用者、特にITスキルに自信が無い方が意図せずにこの操作をした場合・・・。しかも、操作をした対象がファイルサーバーのアイテムだったら・・・。

 

ほら、怖くなってきませんか?

 

■補足情報

今回、当方が現象を確認したモノは、Office ProPlus です。詳細バージョンは”1806

f:id:yamad365:20180707094626p:plain

 

Office アプリケーションのバージョン確認方法は公式をご確認ください。Word であろうが、Excel であろうが、バージョン確認方法は一緒ですし、同じVerになります。

使用している Office のバージョンを確認する方法 - Office サポート

 

バージョン 1806 以前のOffice ProPlus では、前述の右クリックメニューで[ファイルの削除]は登場しません。ですので、最新のUpdateが適用されたOfficeクライアントのみ、というのが現時点での調査結果となっています。(※2018/7/7 時点)

 

なお、いつ(こんなやっかいな)機能が追加されたのか把握したかったので、MS社の情報を調べてみました。

が、明確な情報が発見できていませんでした。せめて「イツのVerUpで搭載したよ」てのだけでも把握できていれば、問い合わせがあった際に対応できるのに・・・。

 

スマホのアプリはどうなるの?(iOS で試してみた)

参考までに、iPhone の Office 系アプリでどうなるか?です。前述の再現手順を iPhone にて iOS 向け Word アプリで実施してみました。

 

まず 「最近の項目」(所謂、履歴画面)を表示します。

f:id:yamad365:20180707095522p:plain

 

”ダウンロード済み” (´・ω`・)エッ?

 

これは、Windows の画面よりも悪いですね・・・。SPOから直接アイテムを参照しているので”ダウンロード”はしていないんです。しかも、画面が小さいからパスが省略されていて、情報が全然把握できない。これは誤って削除してしまいそうです(汗
いや、まだだ。スマホ用のアプリで[削除]っていう機能が無ければ問題ない!!

 

気を取り直して、[・・・](三点リーダー)をクリックしてみましょう。

f:id:yamad365:20180707095854p:plain

 

( ゚д゚) デスヨネー

 

はい、しっかりと [削除] があります。こちらもWindowsと同様に、アプリから直接SPOのアイテムが削除可能です。ご参考までに、監査ログがこちら。

 

f:id:yamad365:20180707100049p:plain

 

User Agent に、ばっちりと ”Microsoft Office Word/2.14.604 (iOS/11.4; Phone; ja-JP; AppStore; Apple/iPhone9,1)” と スマホから消したぜ!という主張が残っています・・・。

 

■総括

今回、偶然見つけたネタですが、思わぬ事故を発生させる内容だと、個人的には思っています。SPOのライブラリからアイテムを削除するだけであれば、ごみ箱から復活させることができますので大きな問題にはならないかな・・・。とは言え、紹介した手順・機能を利用することで、ファイルサーバーのアイテム等を削除することが可能です。オンプレで共有されているディレクトリは同様だ、ということです。

 

ファイルサーバーって、
SPOのように”ごみ箱”があって、
簡単にユーザーが復活できましたっけ?
削除って完全物理削除でしたよね?

 

なお、該当アイテムに対して編集(削除)権限が付与されていないとエラーになりますのでご安心ください。記事投稿時点の最新Update適用(Office の Ver 1806)でのみ実施できる内容なので、Updateを未適用の環境や、そもそも Office 2016 ではない環境では危惧する必要はございません。とはいえ、古いOfficeはサポートが切れますし、Updateは適用されていくものかと思いますので、いつかは当件が問題になる可能性があります。この”履歴から削除”ぽい機能を封印する手順は、現時点では発見していません。

 

  • 利用者へ注意喚起や教育を実施する
  • SPOやファイルサーバー等の格納場所は適切な権限管理を実施する
  • SPOは、ごみ箱があるから、まだマシかも?だけど教育必須か?
  • Office 365 なら監査ログで(ある程度?)追える
  • ”万が一”に備えたバックアップ等の仕組みを検討したほうがいいぞ

 

といったところが対策になるかと思います。

 

個人的には「アプリケーションの履歴画面から何かを消す」という行為を実施したことがありませんし、実際にやろうとも思ったコトもありません。ただ、他のヒトにとっては、はたしてどうだろう?と。

 

んー、この削除機能はマジでいらないな(本音

役に立つシーンが全く想像できない機能なので、早々に撤回して無くしてほしいな、と思います。皆さんも、不慮の事故などに巻き込まれないよう、ご注意ください。