TokyoBlackHatNews

gbhackers.com 4分で読了

攻撃者がMicrosoft 365のOutlookアドインを悪用し、メールデータを密かに流出させる

Microsoft 365におけるステルス性の高いデータ窃取手法で、Outlook アドインを悪用して、意味のあるフォレンジック痕跡をほとんど残さずにメール内容を流出させます。

「Exfil Out&Look」と名付けられたこの手法は、Outlook Web Access(OWA)がアドインと監査ログを扱う仕組みを利用し、従来のMicrosoft 365監視では見えない盲点を作り出します。

Outlookアドインは、Office製品内で動作する小さなWebベースのアプリ(HTML、CSS、JavaScript)で、XMLマニフェストによって定義されます。

Image
OWA経由でマニフェストファイルをアップロード(source:Varonis)

カスタムUIを表示したり、メール送信などのユーザー操作に反応したり、Microsoft Graphのような外部APIを呼び出したりできます。

ユーザーはMicrosoft Storeから個別にインストールするか、マニフェストをアップロードしてインストールできます。一方、管理者は生産性向上やコンプライアンスツールのために、テナント全体で全メールボックスに展開することも可能です。

Varonisは、この柔軟性がOWAにおける深刻な可視性ギャップを伴うことを発見しました。Outlookデスクトップでアドインがインストールされると、Windowsがそのイベントをローカルに記録します。

しかし同じアドインがOutlook Web経由でインストールされた場合、Microsoft 365の統合監査ログ(Unified Audit Log)は、監査が有効なE5環境であっても、インストールや実行を記録しません。

Image
アドイン実行後の統合監査ログ(source: Varonis)

展開後、プラットフォームが記録するのはアイテム作成や更新といった一般的なメールボックスイベントのみで、アドインがメッセージ内容にアクセスしたり送信したりしたことを示す情報はありません。

Exfil Out&Lookの概念実証(PoC)は、攻撃者がこれをゼロ痕跡の流出チャネルへと変えられることを示しています。

研究者はMicrosoft公式のYeomanジェネレーターを用いて、基本的なOutlookアドインを作成しました。そのマニフェストは最小限の権限、すなわち現在アクティブなアイテムへのアクセスのみを要求します。

このアクセスレベルでは同意プロンプトが表示されませんが、それでもアドインは送信中メールの件名、本文、宛先、タイムスタンプを読み取れます。

マニフェスト内のLaunchEvent設定により、 OnMessageSend イベントにフックし、ユーザーがメールを送信するたびにアドインが自動実行されるようになります。

JavaScriptペイロードはリモートサーバー上でホストされ、メールを傍受して内容を抽出し、単純な非同期 fetch() 呼び出しで外部サーバーへ静かにデータを送信します。

Image
初期展開アクションを示す監査ログエントリ(source: Varonis)

この挙動はOutlookの既定のアドインモデルでサポートされ、最小限の権限しか使わないため、翻訳、要約、AI処理のためにメール全文をクラウドサービスへ送信する既存の正当なアドインの多くと区別がつきません。

管理者が関与するとリスクはさらに高まります。グローバル管理者またはExchange管理者は、Microsoft 365管理センターで悪意のあるマニフェストをアップロードし、「固定(Fixed)」として「全員(Everyone)」に展開できます。

その場合、テナント内のすべてのメールボックスから送信されるすべてのメールが傍受されて流出し、ユーザーはアドインを削除できません。

初期展開では「サービス プリンシパルを追加(Added Service Principal)」や「新しいアプリを作成(Created New App)」といったエントリが作成される可能性がありますが、その後のメッセージ傍受やデータ転送は統合監査ログからは見えないままです。

最小限の権限、送信時の自動実行、そしてOWAでのログ欠如という組み合わせにより、複数の攻撃シナリオが可能になります。内部不正、アカウント侵害後の永続化、特権ロールの悪用による大量流出、そして一見正当なサードパーティ製アドインに隠された挙動によるサプライチェーンリスクです。

Varonisは2025年9月30日にこの問題をMicrosoftへ報告しました。Microsoftはこれを低深刻度の製品バグまたは提案として分類し、直ちに修正する予定はないものの、公表は許可しました。

パッチの見込みがなく、この手法がすでに実行可能であることから、組織にはOutlookアドインに関するガバナンスを強化することが求められています。具体的には、カスタムマニフェストをアップロードできる人物を制限すること、組織全体のアドインと関連するサービス プリンシパルを定期的に見直すこと、そしてOutlookクライアントからの異常な外向きトラフィックを検知するためにネットワーク監視に頼ることです。

翻訳元: https://gbhackers.com/attackers-weaponize-microsoft-365-outlook/

ソース: gbhackers.com
#Microsoft 365 #Microsoft Graph #Outlook #Outlookアドイン #OWA(Outlook Web Access) #Unified Audit Log #Varonis #データ持ち出し(Exfiltration) #メールデータ流出 #監査ログの盲点

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚