Teamsの内容が改ざんか? コミュニケーション手段に潜む危険な性質
Check Pointが「Microsoft Teams」に、メッセージの改ざんや発信者の身元偽装を可能にする4つの重大な脆弱(ぜいじゃく)性を発見した。重要なやりとりではどのようにしてこのような危険な状態を乗り切ればよいのだろうか。
サイバー脅威の分析に強みがあるCheck Point Software Technologiesは、「Microsoft Teams」(以下、Teams)で見つかった重大な欠陥に関するレポートを2025年11月4日(現地時間、以下同)に公開した(注1)。
Teamsの内容が改ざんか? コミュニケーション手段に潜む危険な性質
レポートをまとめたのは同社の脅威インテリジェンス部門Check Point Researchの研究者だ。外部の攻撃者や悪意のある内部関係者を含む攻撃者が、Teamsのメッセージを改ざんしたり、ビジネスメール詐欺を実行したり、ビデオ通話や電話メッセージで身元を偽装したりできる4つの脆弱性を発見した。
このレポートは緊急の修正をユーザーに求めるものではないことが幸いだ。研究者が発見した脆弱性はまず、Microsoftに通知され、Microsoftが修正を終えた後に公開されたからだ。
とはいえ、脆弱性の内容は深刻だ。次のような4種類の攻撃が可能だったという。
(1)Teamsのメッセージを「編集済み」のラベルを残さずに書き換えられる
(2)メッセージ通知を操作して、別の(正規の)送信者から送られたかのように見せかけられる
(3)プライベートチャット内の表示名を変更できる
(4)ビデオ通話や音声通話で、発信者の身元を改ざんできる
Teamsのユーザーは世界で3億2000万人以上に上り、エンタープライズ向けメッセージングプラットフォームとして重要な位置を占めている。
同社がこのレポートを発表した背景には、企業の経営幹部や政治家などを標的としたソーシャルエンジニアリング攻撃やビッシング攻撃(音声や動画を使ったフィッシング攻撃)が増加している現状がある。攻撃者は誤情報や虚偽の依頼を送り付けたり、特権アカウントにアクセスしたりしてビジネスメール詐欺攻撃を仕掛けている。
Check Pointの研究者によれば「Teamsに深いレベルで修正が必要な4つの異なる脆弱性を発見した」という。
Check Pointの製品脆弱性研究責任者のオデド・ヴァヌヌ氏は、『Cybersecurity Dive』に対して次のように語った。
「それぞれの修正ではプラットフォームに異なるロジック層を追加しなければならず、そうすることで結果的に脆弱性を全体として緩和できた」
Microsoftは通知のなりすましに関する脆弱性を「CVE-2024-38197」と特定して(注2)、追跡した。Microsoftはこの脆弱性に関するガイダンスを2024年に公開して(注3)、関連するその他の脆弱性を2025年10月に修正し終わった。Check Point Researchによると、Microsoftが同年10月に完了させた最新の修正は、音声と動画メッセージに関する問題に対応するものだったという。
Teamsは完全に安全になったのだろうか
Check Point Researchが発見した4つの脆弱性を利用した攻撃からは安全になったと言ってもよいだろう。
だが個別の脆弱性が修正されたとしてもそれで安心してはいけない。組織のセキュリティ対策を計画、実行する際には、常に「信頼の悪用」を警戒しなければならないからだ。
Check Point ResearchもMicrosoftの対策だけで全てが終わったとは語っていない。Teamsのようなコラボレーションプラットフォームはネイティブセキュリティのベースラインのみを提供しているため、このレイヤーがバイパスされてユーザーが危険な状況に陥る可能性があるとしている。
つまり、ユーザーが信頼する情報源からのものだと信じていても、オンラインで目にするものや耳にするものに対して常に批判的な見方をしなければならないということだ。
ユーザーだけの問題ではない。Teamsなどを通じて高いリスクが考えられる要求(金銭のやりとりや機密情報の提示)があった場合、企業は検証方法を用意して利用できるようにしなければならない。Teamsなどの主要な通信チャネル(インバンド)とは別の独立した手段(アウトオブバンド)を使って、情報やリクエストの正当性を確認するための手順がなければならない。これを「アウトオブバンドの検証プロトコル」と呼ぶ。(キーマンズネット編集部)
出典:Researchers warn of flaws that allow manipulation of Microsoft Teams messages(Cybersecurity Dive)
注1:Exploiting Microsoft Teams: Impersonation and Spoofing Vulnerabilities Exposed(Check Point Research)
注2:CVE-2024-38197 Detail(NIST)
注3:Microsoft Teams for iOS Spoofing Vulnerability(Microsoft)
© Industry Dive. All rights reserved.
関連記事
Teamsユーザーを狙ったメール詐欺を防げない理由
「ビジネスメール詐欺」は企業を主に狙うサイバー攻撃だ。Microsoft Teamsを利用した新しいビジネスメール詐欺が始まった。
社内SNSは「危険」、Microsoft Teamsの利用法から分かること
クラウドやメールと違い、社内SNSをサイバー攻撃から保護する機運があまり高まっていない。だが、至急保護する必要があることが分かった。なぜだろうか。
Teamsの会話も丸見えに? Microsoftも警告、多要素認証を突破する見えない侵入者
Microsoftはロシア政府から支援を受けている未知の攻撃者グループを発見した。攻撃手法は既知のものを組み合わせたものに過ぎないが、多要素認証を突破して、ユーザーのメールなどを盗み出すことに成功している。