Microsoftは昨年12月、OutlookにおけるCVE-2023-35636脆弱性を修正する更新プログラムをリリースした。しかしこの更新プログラムの適用後、.ICSファイルを開く際に誤ったセキュリティ通知が表示されるという問題が発生していた。同社このたび、この問題に関するサポートページにおいて、2024年7月9日リリースのパブリック更新プログラムで問題が修正され、通知が表示されなくなったことをアナウンスした。
誤ったセキュリティ通知が表示される問題
発端となった脆弱性「CVE-2023-35636」は、攻撃者が悪意を持って作成したファイルを使用することでNTLMハッシュを盗めるというもの。NTLMはWindowsで使用されるネットワーク認証プロトコルであり、NTLMハッシュはオフライン・ブルートフォース攻撃によるパスワードのクラックや認証リレー攻撃などに悪用される可能性がある。
CVE-2023-35636は、2024年12月12日にリリースされたセキュリティ更新プログラムによって修正されている。しかしその後、この更新プログラムを適用したユーザーから、.ICSファイルを開く際に「Microsoft Officeが潜在的なセキュリティ上の懸念を特定した」という警告メッセージが表示されるという問題が報告された。
Microsoftによれば、このメッセージは誤ったものであり、セキュリティ上の危険が存在しなくても表示されてしまうという。同社はこの問題を認識し、5月にInsiderチャネル向けに修正プログラムを公開したが、その後「テスト中に問題を発見した」として修正を差し戻していた。
最終的に、7月9日にリリースされたOutlook Desktopのパブリック更新プログラムを適用することで、問題は修正されてセキュリティ通知は表示されなくなるという。本稿執筆時点では日本語版のサポートページにはまだ修正の報告は反映されていないが、間もなく更新されるだろう。
レジストリ キーの削除を忘れないように
サポートページには、暫定的な回避策としてレジストリ キーを設定してセキュリティ通知プロンプトの表示を停止する方法が紹介されている。ただし、レジストリ キーを使用した場合、この問題に限らずすべての種類のファイルに対するセキュリティ通知プロンプトが停止されてしまう。
Microsoftは、この暫定回避策を実施していたユーザーに対し、7月9日のパブリック更新プログラムを適用した後でレジストリ キーを削除して元の設定に戻すように呼びかけている。通知を無効にしたままだと、万が一問題のあるファイルを開こうとした場合にも、セキュリティ警告を受けられなくなる。