Koi Securityは2月11日(現地時間)、「AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials」において、Microsoft Outlookで初めてとなる悪意のあるアドイン(拡張機能)が発見されたと報じた。

リリース時は正常なアドインだったが、リリース後の管理がずさんだったため参照先URLが乗っ取られ、フィッシング攻撃に悪用されたという。

  • AgreeToSteal: The First Malicious Outlook Add-In Leads to 4、000 Stolen Credentials

    AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials

Outlookアドイン特有の仕組みを悪用

Outlookのアドインは、Webブラウザの拡張機能と異なり、開くたびに開発者のサーバから実際のコンテンツをリアルタイムで取得する仕組みとされる。インストールにはMicrosoftが署名したマニフェスト(XMLファイル)のみが提供され、マニフェストに記載されたURLからコンテンツを取得する。

今回攻撃者はこの仕組みを悪用した。標的となったアドインは会議スケジュールツール「AgreeTo」で、そのマニフェストにはリソースURLとして「https://outlook-one[.]vercel[.]app」が指定されている。このドメインはVercelが提供するWebアプリプラットフォームで、低価格のWebアプリ開発を支援する。

  • 攻撃対象となったアドイン「AgreeTo」の公式マーケットプレイス - 引用:Koi Security

    攻撃対象となったアドイン「AgreeTo」の公式マーケットプレイス 引用:Koi Security

AgreeToはChromeの拡張機能としても提供されていたが、2023年5月の更新を最後に開発を停止。開発者のドメイン「agreeto[.]app」が有効期限切れとなり、Googleは2025年2月に拡張機能を削除した。ところがOutlook向けのアドインは削除されず、Microsoftマーケットプレイスに掲載されたままになったという。

攻撃者は所有者のいないWebアプリURL「outlook-one[.]vercel[.]app」を取得し、フィッシングキットを展開。偽のMicrosoftサインインページ、パスワード収集ページを作成し、認証情報を窃取することに成功した。攻撃者はAgreeToのソースコードを入手できなかったため、フィッシング攻撃のみを行い、本来のコンテンツは提供できなかったとされる。

  • Outlookでアドインを開くと表示されるフィッシングページ - 引用:Koi Security

    Outlookでアドインを開くと表示されるフィッシングページ 引用:Koi Security

影響と対策

Koi Securityの調査によると、この攻撃の被害者は4000人以上とされる。攻撃者は窃取した認証情報を使用し、すべてのメール、パスワード、クレジットカード情報、セキュリティの質問の回答などを収集したことが確認されている。

攻撃手法はOutlookアドインの構造的欠陥を悪用する手口と言える。サードパーティの開発者の信頼に依存する仕組みで、アドイン更新時にMicrosoftの審査や関与は存在しない。アドインはOutlookプロセス上で動作することからエンドポイント検出は難しく、URLフィルタリングによる検出もできない。

潜在的なリスクは高く、Microsoftが構造的欠陥を修正するまでは、Outlookアドインの利用は避けることが推奨される。なお、アドイン「AgreeTo」は本稿執筆時点でマーケットプレイスから削除されている。Outlookユーザーには同様の問題の有無について調査し、管理されていないアドインを削除することが望まれている。