Microsoftは4月23日(米国時間)、「Outlook prompts security notice opening .ICS files after installing protections for Microsoft Outlook Information Disclosure Vulnerability released: Dec 12, 2023 - Microsoft Support」において、Microsoft Outlookのセキュリティアップデート適用後に「.ICS」ファイルを開くと、予期しないセキュリティ通知が表示されるようになる不具合の修正に問題を発見し、修正を無効にしたと伝えた。

この不具合は2024年2月5日(米国時間)に公開され、アップデートを通じて修正される予定となっていた(参考:「Outlookのアップデートにバグ、ファイル開くとセキュリティ通知 | TECH+(テックプラス)」)。

  • Outlook prompts security notice opening .ICS files after installing protections for Microsoft Outlook Information Disclosure Vulnerability released: Dec 12、2023 - Microsoft Support

    Outlook prompts security notice opening .ICS files after installing protections for Microsoft Outlook Information Disclosure Vulnerability released: Dec 12, 2023 - Microsoft Support

問題のセキュリティアップデートの内容

Microsoftが問題の原因として指摘したセキュリティアップデートは、2023年12月12日(米国時間)にリリースしたMicrosoft Outlookの「CVE-2023-35636 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Outlook の情報漏えいの脆弱性」とされる。この脆弱性は、悪用されるとユーザーの操作を介してNTLM(NT LAN Manager)ハッシュが窃取される可能性がある。

Microsoftによるとセキュリティアップデートを適用した一部の環境において、ローカルに保存した「.ICS」ファイルを開くと予期しないセキュリティ通知が表示されるという。Microsoftはこの動作をバグと認めている。

  • 予期しないセキュリティ通知の例 - 提供:Microsoft

    予期しないセキュリティ通知の例 提供:Microsoft

修正の無効化と一時的な回避策

Microsoftはこの不具合を修正するアップデートをInsiderチャネルでテストしていたが、問題を発見したとして修正を無効にした。今後は修正に変更を加え、再び有効にする予定としている。

修正が正式にリリースされるまでの間、ユーザーはこれまでと同様に一時的な回避策として次のレジストリーキーを修正し、セキュリティ通知を無効にすることができる。

グループポリシーレジストリーパス

「HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security」、DWORD: DisableHyperlinkWarning、値 1

OCTレジストリーパス

「Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security」、DWORD: DisableHyperlinkWarning、値 1

これら対策は必要な場合に実施できるが、推奨されているわけではない。「.ICS」ファイル以外のすべてのファイル形式に対してもセキュリティ通知が停止される点に注意する必要がある。