Microsoft、Outlookが誤ったセキュリティ通知を表示する問題修正
マイナビニュース / 2024年7月17日 15時55分
Microsoftは昨年12月、OutlookにおけるCVE-2023-35636脆弱性を修正する更新プログラムをリリースした。しかしこの更新プログラムの適用後、.ICSファイルを開く際に誤ったセキュリティ通知が表示されるという問題が発生していた。同社このたび、この問題に関するサポートページにおいて、2024年7月9日リリースのパブリック更新プログラムで問題が修正され、通知が表示されなくなったことをアナウンスした。
Outlook prompts security notice opening .ICS files after installing protections for Microsoft Outlook Information Disclosure Vulnerability released: Dec 12, 2023 - Microsoft Support
○誤ったセキュリティ通知が表示される問題
発端となった脆弱性「CVE-2023-35636」は、攻撃者が悪意を持って作成したファイルを使用することでNTLMハッシュを盗めるというもの。NTLMはWindowsで使用されるネットワーク認証プロトコルであり、NTLMハッシュはオフライン・ブルートフォース攻撃によるパスワードのクラックや認証リレー攻撃などに悪用される可能性がある。
CVE-2023-35636は、2024年12月12日にリリースされたセキュリティ更新プログラムによって修正されている。しかしその後、この更新プログラムを適用したユーザーから、.ICSファイルを開く際に「Microsoft Officeが潜在的なセキュリティ上の懸念を特定した」という警告メッセージが表示されるという問題が報告された。
Microsoftによれば、このメッセージは誤ったものであり、セキュリティ上の危険が存在しなくても表示されてしまうという。同社はこの問題を認識し、5月にInsiderチャネル向けに修正プログラムを公開したが、その後「テスト中に問題を発見した」として修正を差し戻していた。
最終的に、7月9日にリリースされたOutlook Desktopのパブリック更新プログラムを適用することで、問題は修正されてセキュリティ通知は表示されなくなるという。本稿執筆時点では日本語版のサポートページにはまだ修正の報告は反映されていないが、間もなく更新されるだろう。
○レジストリ キーの削除を忘れないように
サポートページには、暫定的な回避策としてレジストリ キーを設定してセキュリティ通知プロンプトの表示を停止する方法が紹介されている。ただし、レジストリ キーを使用した場合、この問題に限らずすべての種類のファイルに対するセキュリティ通知プロンプトが停止されてしまう。
Microsoftは、この暫定回避策を実施していたユーザーに対し、7月9日のパブリック更新プログラムを適用した後でレジストリ キーを削除して元の設定に戻すように呼びかけている。通知を無効にしたままだと、万が一問題のあるファイルを開こうとした場合にも、セキュリティ警告を受けられなくなる。
(杉山貴章)
外部リンク
この記事に関連するニュース
-
Microsoft Officeユーザーを狙うサイバー攻撃に注意を
マイナビニュース / 2024年7月16日 8時5分
-
iOS/Andorid版「Winamp」が正式版リリース/Zoomに複数の脆弱性 最大深刻度は「High」
ITmedia PC USER / 2024年7月14日 6時5分
-
マイクロソフト、7月セキュリティ更新プログラム公開 - 139件の脆弱性修正
マイナビニュース / 2024年7月11日 10時52分
-
Internet Explorerを悪用する攻撃を確認、アップデート適用を
マイナビニュース / 2024年7月11日 8時46分
-
Microsoft、2024年7月の月例更新 - 139件の脆弱性への対応が行われる
マイナビニュース / 2024年7月10日 17時31分
ランキング
-
1『ポケモンGO』激レアな“3ひきかぞく”の条件が気になる!ワッカネズミ初登場の「一家団欒イベント」重要ポイントまとめ
インサイド / 2024年7月17日 0時0分
-
2「酔っていました」 MLBオールスターの国歌斉唱に「ひどい」と批判 歌手が謝罪
ねとらぼ / 2024年7月17日 10時5分
-
3Xの動画「勝手に次も再生される」を防ぐ裏ワザ
ITmedia NEWS / 2024年7月17日 8時30分
-
4iPhoneが海に落下...どうすれば? - いまさら聞けないiPhoneのなぜ
マイナビニュース / 2024年7月17日 11時15分
-
5グーグル「Chrome」深刻度“高”の脆弱性10件に対応するアップデート
ASCII.jp / 2024年7月17日 13時0分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)