「Microsoft Teams」にGIF画像でアカウントを乗っ取られる脆弱性【修正済】

「Microsoft Teams」にGIF画像でアカウントを乗っ取られる脆弱性があったと報じられました。「Microsoft Teams」のGIF画像を見るだけでアカウントが乗っ取られる脆弱性についてはすでに修正済で、パッチも発行し対策を講じています。

「Microsoft Teams」にGIF画像でアカウントを乗っ取られる脆弱性【修正済】のイメージ

目次

  1. 1「Microsoft Teams」アカウントを乗っ取られる脆弱性
  2. 2「GIF画像」を見るだけでアカウント全体を乗っ取る脆弱性
  3. 合わせて読みたい!Microsoftに関する記事一覧

「Microsoft Teams」アカウントを乗っ取られる脆弱性

米現地時間4月27日、セキュリティソフトウェア会社「CyberArk」のセキュリティ研究者は、ビデオ会議ツール「Microsoft Teams」において乗っ取り可能な脆弱性があることを明らかにしました。

「Microsoft Teams」で悪意のあるGIFファイルを見るだけで、Teamsユーザーのデータ情報を取得し最終的には組織のすべてのTeamsアカウントが乗っ取られる問題があったようです。

この脆弱性は「Microsoft Teams」のWebブラウザ版だけでなく、デスクトップ版も影響を受ける可能性があり、Microsoftでは脆弱性の報告後すぐに修正済みで、4月20日にはリスク緩和のパッチを公開し対策を講じています。

新型コロナウィルスの感染拡大によって、多くの企業や学校でオンライン会議やオンライン授業などが採用されるようになり「Zoom」や「Microsoft Teams」などのビデオ会議サービスの利用者が増えています。

利用者が増える一方で、セキュリティ研究者からはビデオ会議サービスについてセキュリティ面における問題点が指摘されていました。

「Zoom」では悪意のある第三者によって会議室を乗っ取られる「Zoom-bombing」という会議妨害が問題となったり「Microsoft Teams」においても悪意ある攻撃者のターゲットになる脆弱性が発見されたりしています。

Thumb【Microsoft Teams】最大9人の映像がビデオ会議で表示可能に!
「Microsoft Teams」においてビデオ会議画面に最大9人の参加者の映像を表示可能に...
Thumbカスタム背景の設定が「Microsoft Teams」で可能に!
Microsoftがビジネスチャットサービス「Microsoft Teams」の会議機能にカ...

「GIF画像」を見るだけでアカウント全体を乗っ取る脆弱性

セキュリティソフトウェア会社「CyberArk」は、リモートワークが進む中で多くの企業や組織が導入を進めている「Microsoft Teams」のセキュリティに関して調査を行っていました。

「Microsoft Teams」では、ユーザーが「Microsoft Teams」を起動するたび毎回一時的なアクセストークンが生成されます。そして「Microsoft Teams」でサポートされているサービスにアクセスするためのトークンなども生成されています。

そこで「CyberArk」によると攻撃者が特殊な方法で作成したGIF画像を「Microsoft Teams」で送信し、それを受け取ったユーザーがGIF画像を見るだけで、アクセストークンが攻撃者に送信されてしまう脆弱性があることされています。

攻撃者はこのアクセストークンを取得すると「Microsoft Teams」のAPIインターフェイスを介してユーザーのアカウントを乗っ取ることが可能と言います。

アカウントを乗っ取られることで、「Microsoft Teams」上のメッセージを読み取ったり他のユーザーへメッセージを送信したり、またグループの作成やグループへのユーザー追加または削除などが行われる可能性もあります。

これが企業内のリーダーシップを持ったユーザーのアカウントが乗っ取られた場合、金銭的な損害や重要なデータ漏えいなどが引き起こされる可能性があります。

Microsoftは3月23日に「CyberArk」からの報告のその日のうちに悪用されないように修正済とし、4月20日には今後「Microsoft Teams」で同様の問題が発生するリスクを緩和するパッチを公開しています。

Microsoftによるとパッチを発行することでこの問題は最終的に解決されたとしています。

Thumbマイクロソフトがトランシーバー機能などMicrosoft Teamsに追加へ!
マイクロソフトの「Microsoft Teams」にトランシーバー機能など新機能が追加される...
Thumb【ビデオ会議サービス】「Zoom 5.0」アップデートを発表!セキュリティを強化!
ビデオ会議サービス「Zoom」は「Zoom 5.0」アップデートを行いセキュリティ強化を行う...

合わせて読みたい!Microsoftに関する記事一覧

Thumb【Microsoft Teams】最大9人の映像がビデオ会議で表示可能に!
「Microsoft Teams」においてビデオ会議画面に最大9人の参加者の映像を表示可能に...
Thumbカスタム背景の設定が「Microsoft Teams」で可能に!
Microsoftがビジネスチャットサービス「Microsoft Teams」の会議機能にカ...
Thumb「Google日本語入力」と「Microsoft IME」を比較!メリットも解説!
Microsoft IMEを使用している人の中には、多少不便を感じているユーザーがいるようで...
Thumb【Microsoft】セキュリティソフト「Defender」のiOS/Android版提供へ!
Microsoftがセキュリティ対策ソフト「Defender」のiOS・Android版をリ...

関連するまとめ

関連するキーワード

Noimage
この記事のライター
usagifwfw