アドイン経由で「Outlook」から機密メールを盗む「Exfil Out&Look」攻撃

Varonis、「Microsoft 365」の「Outlook」アドインを悪用し、ログなどの痕跡を残さずに機密メールを盗み見る方法を発見

　米国に拠点を置くAIデータセキュリティ企業Varonisのセキュリティチームは1月28日（現地時間）、「Microsoft 365」の「Outlook」アドインを悪用し、ログなどの痕跡を残さずに機密メールを盗み見る方法を発見したと発表した。この攻撃は「Exfil Out&Look」と命名されている。

　デスクトップ版の「Outlook」アプリでは、アドインをインストールすると監査ログに記録され、あとから「イベント ビューワー」でそれを確認できる。しかし、Webブラウザーから利用する「Outlook」（Outlook Web Access：OWA）にはそうした機能がない。

　そのため、万が一悪意あるアドインをインストールしてしまっても、それを検知するのが極めて困難だ。

　しかも、「Outlook」アドインは最小権限でもメール内容を取得可能。インストールさえされてしまえば、ユーザーの同意なしに送信メールの件名、本文、宛先などにアクセスできてしまう。正当なアドインのなかにも、AIが翻訳や自動返信のメール生成、要約などのために外部サーバーへメールの内容を送信しているものがあり、通信を監視するだけでは悪意あるアドインとの見分けは困難だ。

　実際、同社は既定の「Microsoft 365」セキュリティ設定のもと、最小限の権限をもつ「Outlook」アドインを用いて、監査ログに痕跡を残さずにメールの内容を盗み取る実証コード（PoC）を作成することができたという。ユーザーが個別にアドインをインストールするケースだけでなく、IT管理者が社内にアドインを一斉に展開する際も、アドインのインストールログは得られるものの、その後の挙動を継続的に追跡するのは難しい。

　Varonisのセキュリティチームは、「Exfil Out&Look」を悪用すれば従業員（インサイダー）が密かに社内データを流出させる攻撃や、正規のアドインに機密データを漏えいさせる機能を隠すサプライチェーンリスクの問題を懸念。2025年9月30日にMicrosoftのセキュリティ部門「MSRC」に報告したが、重大度は低いとして即時の修正を行わなかった。パッチの予定もないと通知されたため、今回の情報公開に踏み切ったという（情報公開に際しては、Microsoftの許可も得ている）。

　対策としては、ユーザーによるアドイン追加の制限、IT管理者が配布するアドインの定期監査、外部通信のネットワーク監視、ユーザーの教育などが挙げられている。併せて、Microsoftにアドインのインストールや動作に関する監査ログを拡充するよう提言している。