Outlookに脆弱性、フィッシング対策機能がCSSで回避される恐れ
マイナビニュース / 2024年8月9日 7時31分
リスク管理企業のCertitude Consultingは8月7日(現地時間)、「Exploring Anti-Phishing Measures in Microsoft 365 – Certitude Blog」において、Microsoft 365のOutlookから脆弱性を発見したと伝えた。この脆弱性を悪用されると、Outlookの警告表示を改ざんされる恐れがある。
○Outlookで見つかった脆弱性の概要
Outlookには過去受信したことのない送信者によるメールを警告する機能がある。Microsoftはこれを「First contact safety tip」と呼び、フィッシング対策機能の一つに挙げている(参考:「Anti-phishing policies - Microsoft Defender for Office 365 | Microsoft Learn」)。
発見された脆弱性は、この機能による警告表示を改ざんできる脆弱性とされる。Outlookは受信したことのない送信者からのメールを受信すると、その送信者のアドレスを本文上部に表示する。
通常、このような警告表示は他のコンポーネントと分けて表示するべきだが、Outlookはメール本文にHTMLとして埋め込むことで表示する。そのため、攻撃者は送信前のメール本文に悪意のあるカスケーディング・スタイル・シート(CSS: Cascading Style Sheets)を埋め込むことで、表示を自由に制御することができる。
Certitude Consultingはさらに一歩進んだ攻撃の例として、暗号化および署名アイコンの偽装を試みている。アイコン画像はbase64によるHTML埋め込み方式を採用し、Unicode文字によるリンクの生成を抑制する手法で偽装に成功している。
○Microsoftの対応
Certitude Consultingは脆弱性情報調整(CVD: Coordinated Vulnerability Disclosure)に基づき、2024年2月にMicrosoftセキュリティレスポンスセンター(MSRC: Microsoft Security Response Center)に脆弱性を通知している。これに対し、Microsoftは次のように回答したという。
われわれはお客様の発見を有効と判断しましたが、これは主にフィッシング攻撃に適用される手法のため、直ちにサービスを提供すべきわれわれの基準を満たしていません。しかしながら、今後の製品改良における検討課題とさせていただきます。
Microsoftはこの脆弱性の優先度を低いと判断し、将来的な検討課題と位置づけている。そのため、脆弱性が修正されるまでの間、Outlookの警告表示やアイコン表示に頼らずにフィッシング対策を実施することが推奨される。
(後藤大地)
この記事に関連するニュース
-
Microsoftユーザーを狙うフィッシング多発、複数ベンダーが警戒呼びかけ
マイナビニュース / 2024年8月2日 7時51分
-
WhatsAppのWin版にPython/PHP実行の脆弱性、修正の予定はなし
マイナビニュース / 2024年7月31日 8時47分
-
Microsoftがフィッシング詐欺ブランドトップ、AdidasとInstagramも復活
マイナビニュース / 2024年7月25日 18時11分
-
ヤマト運輸偽るフィッシング詐欺の報告が26倍に急増
マイナビニュース / 2024年7月23日 8時20分
-
Microsoft、Outlookが誤ったセキュリティ通知を表示する問題修正
マイナビニュース / 2024年7月17日 15時55分
ランキング
-
1AWSにデータ流出や乗っ取り引き起こす脆弱性、セキュリティベンダーが指摘
マイナビニュース / 2024年8月15日 10時28分
-
2Windows 11 22H2のサポート終了まで残り60日、Microsoftが再び警告
マイナビニュース / 2024年8月14日 12時10分
-
3シロクマにしかみえない犬が話題 「ガチでシロクマ」「シロクマすぎる」の声
おたくま経済新聞 / 2024年8月13日 9時42分
-
4「ゴミ」「消えろ」 DeNA関根大気への悪質な誹謗中傷8件の内容を公開 情報開示命令申立が認められる
ねとらぼ / 2024年8月15日 12時20分
-
5「空撮ってたら死ぬかと思った」 落雷の瞬間を捉えた衝撃映像に戦慄 「心臓に悪いです」「やばすぎる……」
ねとらぼ / 2024年8月14日 7時30分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)