Microsoftが対処してもOutlookの「ゼロクリック攻撃」が止まらない理由

Microsoft Outlookを狙うゼロクリック攻撃は対策される度に進化している。初期のゼロクリック攻撃には対処法があるものの、次第に状況が不利になってきた。

[畑陽一郎，キーマンズネット]

　「Microsoft Outlook」を狙うサイバー攻撃「ゼロクリック攻撃」にユーザーは押され気味だ。

　送られてきた電子メール（メール）をプレビューしただけで攻撃が通ってしまう。Microsoftではすでに対策済みだが、依然として危険性が高いという。なぜだろうか。

Outlookへの「ゼロクリック攻撃」はなぜ危険なのか

　Check Point Softwareのジョン・マカリオ氏（グローバル・マーケティング部長）によれば、ユーザーが何もしなくてもOutlookクライアントを攻撃する手法「ゼロクリック攻撃」の原型が見つかったのは2022年だ。

　Microsoftが対処を発表したのは2023年3月になってからだ。Outlookでリンクをクリックしたり、返信したり、メールを開いたりする必要がなく、Outlookがメールを受信するだけで攻撃された事例を確認して、「CVE-2023-23397」というCVE（共通脆弱《ぜいじゃく》性識別子）番号が与えられた。ユーザーが何も操作しなくても、攻撃者はWindowsの認証プロトコルの一つNTLM（New Technology LAN Manager）のハッシュを盗むことができる。

　この攻撃がまずいのは、メールセキュリティソリューションを導入していても防ぐことが難しかったからだ。このようなソリューションはエンドユーザーがメールにアクセスする前にメールを修復したり、隔離したりする。だが、ユーザーが何もしなくても攻撃が通るのであれば対処しにくい。Microsoftはこの脆弱性に対してパッチを提供しているため、現在は対処が容易だ。

　だが、ゼロクリック攻撃がこれで終わることはなかった。

　Akamai Technologiesの研究者ベン・バルネア氏は2024年1月にさらに2つの脆弱性を発見した。1番目の「CVE-2023-35384」を使うと攻撃者が細工したメールを被害者のOutlookクライアントに送信し、そのメールが攻撃者の制御下にあるサーバから特別なサウンドファイルをダウンロードできるようになる。

　2番目の「CVE-2023-36710」はオーディオ圧縮マネジャーを利用したものだ。ダウンロードされたサウンドファイルが自動再生される際に悪用されて、被害者のPC上でコードが実行されてしまう。1番目と2番目を組み合わせると、Outlookが悪意のあるメールを受信しただけで、被害者のPCで任意のリモートコードが実行されてしまう。

ゼロクリック攻撃の最新版が登場

　ゼロクリック攻撃の進化はまだ止まらない。次の脆弱性を報告したのはMorphisecだ。同社は2024年4月3日に発見後、直ちにMicrosoftに報告した。Microsoftは2024年4月16日に脆弱性を確認した後、2024年6月11日にパッチを発行した。同時に米国立標準技術研究所（NIST）が「CVE-2024-30103」の情報を公開した。

　Morphisecの分析によると、この脆弱性はOutlookが特定のメールコンポーネントを処理する方法にある。メールが開かれるとバッファーオーバーフローが発生し、攻撃者はユーザーと同じ権限でコードを実行できるようになる。Morphisecによれば、「システムの完全な侵害やデータの盗難、ネットワーク内でのマルウェアのさらなる増殖につながる可能性がある」

　この脆弱性を悪用した場合も、攻撃者は特別に細工したメールを送信することで被害者のPCで任意のコードを実行できる。ほとんどのOutlookユーザーはメールを選択したとき、あるいは以前のメールに返信した後に、プレビューでメールを自動的に開くようにしているため、この攻撃には対応できない。

ゼロクリック攻撃はこれからどうなるのか

　Outlookは広く使われているため、脆弱性が見つかればすぐに攻撃に使われる。そしてデータ漏えいやランサムウェア攻撃へとつながり、企業の業績や評判の低下につながっていく。

　ゼロクリック攻撃はエンドユーザーの操作ミスや思い込みには依存しない。メールを開いた場合だけでなく、マウスのフォーカスが当たってプレビューペインにメールの内容が表示された時点でゲームオーバーになるからだ。

　Check Point Softwareのニコラス・オハラ氏（米州担当のセキュリティエンジニアリング責任者）は、「ゼロクリックは完璧なフィッシング攻撃だ。だからこそ、攻撃者は完璧なフィッシングを生み出す脆弱性を（今後も）探し続ける。メール受信後にメールを確認するセキュリティソリューションでは、こうした攻撃を阻止することはできない。そのようなツールに依存している企業は、アプローチを再評価することをお勧めする」と言う。

　Outlook関連の脆弱性に対応したパッチを公開後にすぐに適用することはもちろんだが、これまでの経緯を見る限り、脆弱性が発見されてからパッチが適用されるまでにはある程度の時間がかかる。ゼロデイ攻撃が起こる可能性もある。自社のメールセキュリティがどの程度、ゼロクリック攻撃に対応できるのか、確認し続ける必要があるだろう。