リスク管理企業のCertitude Consultingは8月7日(現地時間)、「Exploring Anti-Phishing Measures in Microsoft 365 – Certitude Blog」において、Microsoft 365のOutlookから脆弱性を発見したと伝えた。この脆弱性を悪用されると、Outlookの警告表示を改ざんされる恐れがある。

  • Exploring Anti-Phishing Measures in Microsoft 365 – Certitude Blog

    Exploring Anti-Phishing Measures in Microsoft 365 – Certitude Blog

Outlookで見つかった脆弱性の概要

Outlookには過去受信したことのない送信者によるメールを警告する機能がある。Microsoftはこれを「First contact safety tip」と呼び、フィッシング対策機能の一つに挙げている(参考:「Anti-phishing policies - Microsoft Defender for Office 365 | Microsoft Learn」)。

発見された脆弱性は、この機能による警告表示を改ざんできる脆弱性とされる。Outlookは受信したことのない送信者からのメールを受信すると、その送信者のアドレスを本文上部に表示する。

通常、このような警告表示は他のコンポーネントと分けて表示するべきだが、Outlookはメール本文にHTMLとして埋め込むことで表示する。そのため、攻撃者は送信前のメール本文に悪意のあるカスケーディング・スタイル・シート(CSS: Cascading Style Sheets)を埋め込むことで、表示を自由に制御することができる。

  • メール本文に挿入された警告表示の例 – 引用:Certitude Consulting

    メール本文に挿入された警告表示の例 引用:Certitude Consulting

Certitude Consultingはさらに一歩進んだ攻撃の例として、暗号化および署名アイコンの偽装を試みている。アイコン画像はbase64によるHTML埋め込み方式を採用し、Unicode文字によるリンクの生成を抑制する手法で偽装に成功している。

  • 暗号化および署名アイコンの偽装例 – 引用:Certitude Consulting

    暗号化および署名アイコンの偽装例 引用:Certitude Consulting

Microsoftの対応

Certitude Consultingは脆弱性情報調整(CVD: Coordinated Vulnerability Disclosure)に基づき、2024年2月にMicrosoftセキュリティレスポンスセンター(MSRC: Microsoft Security Response Center)に脆弱性を通知している。これに対し、Microsoftは次のように回答したという。

われわれはお客様の発見を有効と判断しましたが、これは主にフィッシング攻撃に適用される手法のため、直ちにサービスを提供すべきわれわれの基準を満たしていません。しかしながら、今後の製品改良における検討課題とさせていただきます。

Microsoftはこの脆弱性の優先度を低いと判断し、将来的な検討課題と位置づけている。そのため、脆弱性が修正されるまでの間、Outlookの警告表示やアイコン表示に頼らずにフィッシング対策を実施することが推奨される。