Microsoftは、Android版Microsoft Teamsに存在する高深刻度の情報漏洩脆弱性を公開しました。CVE-2026-42835として追跡されているこの脆弱性のCVSS 3.1ベーススコアは8.1です。
2026年6月9日に公開されたこの脆弱性を悪用されると、認証済みの攻撃者がデバイスへの物理的なアクセスなしに、ヒープメモリの一部をリモートから読み取り、ユーザーの機密データを窃取できるおそれがあります。
この脆弱性の根本原因は、CWE-74「下流コンポーネントが使用する出力における特殊要素の不適切な無害化」にあります。具体的には、Android版Teamsが特定の要素を下流の処理コンポーネントに渡す前に適切にサニタイズできていないことが問題です。
Microsoftのアドバイザリによると、悪用に成功した攻撃者はヒープメモリの小さな断片を読み取ることができます。モバイル向けコラボレーションアプリのヒープメモリには、認証トークン、セッション識別子、キャッシュされたメッセージの断片などが一般的に格納されており、機密情報の露出につながる可能性があります。
この脆弱性の影響を受けるのは、Android版Microsoft Teamsのバージョン1.0.0以降、ビルド1.0.76.2026111302より前のバージョンです(ベンダーが確認した公式パッチ適用済みの境界バージョン)。
CVSS 3.1ベクター AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H は、企業のセキュリティ担当者にとって特に懸念すべき内容を示しています。
ネットワーク経由での到達可能性、低い攻撃複雑度、ユーザー操作不要という組み合わせにより、攻撃者はデバイスへの物理的アクセスや巧妙なソーシャルエンジニアリング、管理者権限を必要とせずに攻撃を実行できます。
従業員、委託業者、ゲストユーザー、休眠中のサービスアカウントなど、多数の低権限ユーザーが有効な認証情報を保持している大規模な企業テナントでは、この攻撃条件の敷居は著しく低くなります。
Microsoftによると、Android版TeamsはSharePointファイル、会議の成果物、チャンネルの履歴、カレンダーのメタデータ、通話、インシデント対応ワークフローへのゲートウェイとして機能しています。
この脆弱性を悪用した低権限の攻撃者は、会議のタイトル、参加者リスト、内部ファイル名、組織の関係を示すメタデータを収集できる可能性があり、これらはいずれも後続の攻撃に向けた高価値なターゲティング情報となります。
Microsoftは開示時点で本脆弱性を「悪用の可能性は低い」と評価しており、公開されたPoC(概念実証)コードや実際の悪用事例は確認されていません。
エクスプロイトコードの成熟度は「未実証」、修正レベルは「公式修正パッチ提供済み」とされており、実効的な時間的スコアは7.1に低下しています。
MicrosoftはセキュリティアップデートをGoogle Play Store経由でリリース済みです。パッチ適用済みビルドはバージョン1.0.76.2026111302です。Microsoft Teamsを利用しているAndroidユーザーは、Play StoreからすぐにアップデートするなどAップデートを行ってください。
また、企業のセキュリティチームはMDMソリューションを活用して管理対象デバイスのコンプライアンスを確認し、登録済みすべてのAndroidデバイスにパッチ済みバージョンが展開されているかを検証することが推奨されます。
2026年6月のパッチチューズデーから得られる重要な教訓は、Microsoftのセキュリティ境界がモバイルクライアント、クラウドサービス、コラボレーション基盤にも等しく広がっているという点です。「Microsoftのパッチ適用」をWindows Updateと同義に捉えている管理者は、認識を改める必要があります。
翻訳元: https://cyberpress.org/microsoft-teams-for-android-flaw/
