ニュース

「Microsoft Teams」にGIF画像を見るだけで機密情報を抜き取られる脆弱性

共有することでワームのように拡散する恐れも ~パッチの提供により問題は解決済み

「Microsoft Teams」の脆弱性を悪用した攻撃の流れ(CyberArk社のブログより引用)

 米CyberArkは4月27日(現地時間)、「Microsoft Teams」にサブドメイン乗っ取りの脆弱性を悪用した攻撃が可能であることを明らかにした。悪意あるGIFファイルを共有することでユーザー情報を盗み取り、最終的には組織の「Teams」アカウント全体を乗っ取ることに成功したという。

 新型コロナウイルス感染症(COVID-19)の影響でリモートワークやオンライン学習へのシフトが進むなか、「Zoom」や「Microsoft Teams」など、それを支えるビデオ会議サービスが攻撃のターゲットとなることが増えている。

 「Microsoft Teams」では先月下旬、イスラエル発祥のセキュリティ企業CyberArkによりMicrosoft関連のサブドメインが乗っ取られる問題が報告された。最悪の場合、ユーザーのアカウントトークンが盗まれ、攻撃者によってWebサイトやアプリが自由に操られてしまう。

 CyberArk社によると、この問題は古典的なリンククリック型のマルウェアだけでなく、クリックを必要としない“ゼロクリック”攻撃にも応用できるという。同社の公開した概念実証(PoC)ビデオでは、細工を施したGIFファイルを相手が閲覧するだけで情報を抜き取れることが示されている。もしそのGIF画像が興味をひくものであれば、他のユーザーにも共有されるだろう。そうすれば、攻撃者が小細工を弄しなくてもワームのように拡散してゆく。

 本脆弱性は「Microsoft Teams」のWeb版およびデスクトップ版に影響する。脆弱性の報告を受けたあと、Microsoftはは即日DNSレコードの設定ミスを修正した。その後も両社は“協調的な脆弱性の公開”ポリシーの下、水面下で情報の共有を進め、4月20日にMicrosoftがパッチを発行することで問題は最終的に解決されたという。