- Outlookはフィッシングやマルウェアのリスクを抑えるため、インラインSVG画像の表示を停止
- MicrosoftはOfficeおよびWindowsプラットフォーム全体でリスクのある機能を順次廃止し、保護を強化
- 同社はユーザーへの影響とセキュリティのバランスを取り、SVG添付ファイルの完全なサポートは維持
悪意のあるSVGファイルの利用は近年ますます一般的になっており、攻撃者はこの形式を利用してマルウェアを配布したり、フィッシングページを作成したりしています。
これに対応し、MicrosoftはOutlookでこの種のコンテンツの扱いを変更し、今後はインラインSVG画像がOutlook for Webや新しいOutlook for Windowsで表示されないようにします。
Microsoft 365メッセージセンターの更新で、同社は「インラインSVG画像はOutlook for Webおよび新しいOutlook for Windowsで表示されなくなります。代わりに、これらの画像が表示されていた場所には空白が表示されます」と述べました。
影響は小さい
ただし、MicrosoftはSVGファイル自体を完全にブロックするわけではありません。
「従来の添付ファイルとして送信されたSVG画像は引き続きサポートされ、添付ファイル一覧から閲覧できます。この更新により、クロスサイトスクリプティング(XSS)攻撃などの潜在的なセキュリティリスクを軽減します」と同社は付け加えました。
Microsoftによれば、Outlookでこの方法を利用している画像は全体の0.1%未満のため、通常のコミュニケーションへの影響はごくわずかです。
この決定は、攻撃者が悪用できる機能を減らすというMicrosoftの広範な戦略の一環です。
ここ数年、同社はフィッシングやマルウェアキャンペーンで利用されてきたOfficeおよびWindowsの機能を廃止または制限してきました。
2025年初頭には、Outlook WebおよびOutlook for Windowsが.library-msおよび.search-msファイルのブロックを開始しました。これらはBleeping Computerによると、少なくとも2022年以降、政府機関を標的とした攻撃で悪用されていました。
Microsoftはまた、生産性ソフトウェアにおけるマクロやアドインに対する保護も導入しています。変更点には、VBA Officeマクロのデフォルトブロック、Excel 4.0マクロの保護追加、Microsoft 365およびOffice 2024アプリでの信頼されていないXLLアドインやActiveXコントロールの無効化、VBScriptのサポート廃止などが含まれます。
現在ブロックされているファイル形式の全リストは、Microsoftのドキュメントこちらで確認できます。
GoogleニュースでTechRadarをフォローし、 優先ソースとして追加していただくと、私たちの専門ニュース、レビュー、意見をフィードで受け取れます。必ずフォローボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的なアップデートを受け取れます。
