Microsoft Teamsは、世界中の企業で主要なコミュニケーションツールとなっています。そのため、セキュリティチームは、フィッシングメールや悪意のあるリンク、マルウェアなどの脅威から守るために、Microsoft Defender for Office 365のような保護サービスに多くの時間と費用を費やしています。
しかし、セキュリティ企業Ontinueが2025年11月26日(水)に発表した新たな調査によると、外部パートナーとのMicrosoft Teamsの標準設定(B2Bゲストアクセス)に重大なセキュリティ上の欠陥があり、攻撃者が企業のMicrosoft Defenderによる保護を完全に回避できることが明らかになりました。
ゲストとしてのセキュリティは誰が管理しているのか?
問題は実際にはTeamsのソフトウェアバグではなく、従業員が外部グループと連携する際のセキュリティ管理の方法にあります。Ontinueのブログ記事は明確に述べています。自社のスタッフが外部からの招待を受け入れ、他社のチャットに参加した場合、そのセキュリティはもはや自社の組織によって決定されません。調査によると、セキュリティは「完全にホスティング環境によって管理される」とのことです。
この発見は非常に憂慮すべきものです。ゲスト招待をユーザーが受け入れた瞬間、Safe Links(クリック前にリンクの危険性をチェックするシステム)やZero-hour Auto Purge(ZAP、悪意のあるメッセージを遡及的に削除する機能)など、自社のすべてのセキュリティ機能を即座に失います。攻撃者はこれを悪用しています。攻撃者はこれを知っており、セキュリティポリシーを完全に無効にした独自のシンプルなTeamsアカウントを作成し、まさに完璧な罠を仕掛けることができます。
さらに調査を進めると、攻撃者が必要とするリソースは最小限であることが判明しました。攻撃者は、低価格のサブスクリプションやトライアルを利用して、基本的なMicrosoft 365環境を簡単に構築できます。これらの基本アカウントにはDefenderのようなセキュリティパッケージがないため、デフォルトで保護されておらず、攻撃者は複雑な設定をせずとも「無防備ゾーン」を作り出すことができます。
簡単に侵入できる方法
このリスクは、Microsoftが2025年11月に導入した機能(MC1182004)によってさらに簡単になっています。この機能はほとんどのユーザーでデフォルトで有効になっており、どのTeamsユーザーでも、現在Teamsを利用していない人を含め、任意のメールアドレス宛てにチャットを開始できるようになっています。被害者は本物そっくりのMicrosoft招待メールを受け取り、ワンクリックで悪意のある無防備な環境に入ってしまいます。
この簡単な招待方法と、多くの組織が世界中のどの企業からのゲスト招待もデフォルトで受け入れる設定になっている事実が組み合わさり、多くの企業が危険にさらされています。一度内部に入れば、攻撃者は従業員にフィッシングリンクやマルウェアを簡単に配信でき、セキュリティ警告も表示されません。また、情報の持ち出し(機密データの窃取)や大規模なソーシャルエンジニアリング攻撃も行えます。
専門家は即時対応を強く推奨
Ontinueは、企業が迅速に設定を変更し、信頼できるドメインだけにゲスト招待を制限することを強く推奨しています。
業界リーダーたちもこの調査結果についてHackread.comに見解を寄せており、これは単なるパッチではなく、設定変更が必要な深刻なアーキテクチャ上の問題だと強調しています。
Shane Barney氏(Keeper Security最高情報セキュリティ責任者)は、この攻撃の巧妙さについて「見慣れたインターフェースがセキュリティが一貫しているような印象を与えるが、実際の保護はホスティングテナントの設定次第だ」と指摘しました。さらに「アクセスが適切に制限され、機密システムに関連する活動が継続的に監視されていることを組織は確実にしなければならない」と述べています。
Julian Brownlow Davies氏(Bugcrowdシニアバイスプレジデント、攻撃的セキュリティ戦略&オペレーション)は、ユーザーにとって不都合な真実を明らかにしました。「ユーザーがゲストとして他社のテナントに入った瞬間、自社のDefender for Office 365による保護は事実上消滅します」と述べ、攻撃者がコラボレーション機能を悪用するため「攻撃者が『正当な』コラボレーション機能を悪用することを前提にしなければならない」と結論付けています。
最後に、Agnidipta Sarkar氏(ColorTokensチーフエバンジェリスト)は、即時のポリシー対応の必要性を強調しました。「Microsoftがこの脆弱性に対処するまで、組織は直ちに対応するポリシーを設定し、以前から知られていない相手からのTeamsによるすべてのB2B会議を禁止すべきです」と述べ、TeamsでのB2B接続を事前に定義したドメインのみに許可するよう技術的制御を設定することを推奨しています。
翻訳元: https://hackread.com/microsoft-teams-guest-chat-flaw-malware/
