Microsoftは、Outlook for Webおよび新しいOutlook for Windowsにおいて、攻撃に利用されているリスクの高いインラインSVG画像を今後表示しないと発表しました。
この変更は2025年9月初旬から世界中で順次展開されており、2025年10月中旬までにすべての顧客への適用が完了する予定です。
レドモンド(Microsoft本社)は、この変更がOutlookで送信される全画像の0.1%未満に影響するとしており、展開完了後の実際の影響は最小限になると見込んでいます。
「インラインSVG画像は、Outlook for Webや新しいOutlook for Windowsで今後表示されなくなります。代わりに、これらの画像が表示されていた場所には空白が表示されます」と、同社は火曜日にMicrosoft 365メッセージセンターのアップデートで述べています。
「従来の添付ファイルとして送信されたSVG画像は、引き続き添付ファイル欄から閲覧・利用可能です。このアップデートは、クロスサイトスクリプティング(XSS)攻撃などの潜在的なセキュリティリスクの軽減に役立ちます。」
悪意のある攻撃者は、過去数年にわたりSVG(Scalable Vector Graphics)ファイルを広範に利用し、マルウェアの配布やフィッシングフォームの表示を行ってきました。サイバーセキュリティ企業も、Tycoon2FA、Mamba2FA、Sneaky2FAなどのPhaaSプラットフォームによって、この特定のドキュメント形式を利用したフィッシング攻撃が大幅に増加していると報告しています。
例えば、Trustwaveは4月に報告したところによると、SVGベースの攻撃はフィッシングキャンペーンへとシフトし、2025年初頭から2024年4月までに1800%もの驚異的な増加を記録しました。
Microsoft OutlookにおけるインラインSVG画像の廃止は、Microsoftの顧客を標的とした攻撃で悪用されてきたOfficeやWindowsの機能を削除または無効化する、より広範な取り組みの一環です。
6月には、MicrosoftはOutlook Webおよび新しいOutlook for Windowsで.library-msおよび.search-msファイルタイプのブロックを開始することも発表しました。これらのファイルタイプは以前、政府機関を標的とした攻撃で使用されており、2022年6月以降、フィッシングやマルウェア攻撃で悪用されてきました。Outlookでブロックされる添付ファイルの全リストはMicrosoftのドキュメントサイトで確認できます。
2018年以降、レドモンドはAntimalware Scan Interface(AMSI)のサポート拡大により、Office 365クライアントアプリでOffice VBAマクロを利用した攻撃のブロック、VBA Officeマクロのデフォルトブロック開始、XLMマクロの保護導入、Excel 4.0(XLM)マクロのデフォルト無効化、信頼されていないXLLアドインのデフォルトブロックなど、Microsoft 365テナント全体で対策を進めてきました。
また、2025年4月には、2024年5月のVBScriptの非推奨化発表に続き、Microsoft 365およびOffice 2024アプリのWindows版ですべてのActiveXコントロールを無効化しました。
