Microsoftは、Android版Teamsアプリに影響を及ぼす高深刻度の情報漏えい脆弱性(CVE-2026-42835)を公開しました。
この脆弱性は2026年6月9日に公開され、CVSS v3.1ベーススコア8.1が付与されており、深刻度「重要(Important)」に分類されています。
Microsoftのアドバイザリによると、この脆弱性は下流コンポーネントが使用する出力における特殊要素の不適切な無害化に起因しており、インジェクション関連の脆弱性として広く知られるCWE-74に分類されます。
Microsoft Teams Android版の脆弱性
この脆弱性を悪用されると、認証済みの攻撃者がユーザーの操作なしにTeams環境内の機密情報にアクセスできる可能性があります。
攻撃ベクターはネットワーク経由(AV:N)で、攻撃の複雑さは低く(AC:L)、要求される権限レベルも低い(PR:L)ため、攻撃者がターゲット環境に限定的なアクセス権を持っている状況では、比較的容易に悪用できます。
特筆すべき点として、この脆弱性はユーザーの操作を必要としない(UI:N)ため、コミュニケーションやコラボレーションツールとしてTeamsが広く導入されているエンタープライズ環境における潜在的な影響はさらに大きくなります。
CVE-2026-42835の悪用に成功した場合、チャット内容やトークンなど、アプリケーションが扱う機密性の高い通信データが不正に開示される恐れがあります。
この脆弱性は完全性への直接的な影響はない(I:N)ものの、機密性(C:H)と可用性(A:H)に対するリスクは高く、サービス妨害や大規模なデータ窃取に悪用される可能性があります。
技術的な観点から見ると、CWE-74の脆弱性は、ユーザーが制御する入力がAPIやレンダリングエンジンなどの下流コンポーネントで処理される前に適切にサニタイズされない場合に生じます。
Android版Microsoft Teamsの場合、悪意を持って細工された入力がコミュニケーションワークフローに注入され、バックエンドのレスポンスやアプリケーションの機密データが露出する可能性があります。
Microsoftは詳細な悪用手法を公開していませんが、CVEが公開されCVSSスコアが比較的高いことから、Teamsのモバイル展開に依存する組織にとって重大なリスクであることがわかります。
悪用可能性のサブスコアはまだ実証されていない(E:U)状態ですが、攻撃の複雑さが低くユーザー操作も不要であることを踏まえ、セキュリティチームはこの脆弱性を優先的に対処すべきです。
組織は、Microsoftが提供する最新のセキュリティアップデートを速やかに適用し、Teamsの利用状況に関連する異常な動作についてモバイルデバイス管理(MDM)システムを監視することが強く推奨されます。
また、不要な権限の制限、最小権限アクセスの徹底、APIインタラクションの監視も、潜在的な悪用の試みを軽減するために有効です。
セキュリティチームはさらに、悪用の試みを示唆する可能性がある異常なアクセスパターンやデータ露出インシデントのログを確認することも必要です。コラボレーションプラットフォームは引き続き攻撃者の主要な標的であり、CVE-2026-42835のような脆弱性は、エンタープライズ環境におけるモバイルエンドポイントのセキュリティ確保の重要性を改めて示しています。
翻訳元: https://gbhackers.com/microsoft-teams-android-flaw/
