「Microsoft Teams」にGIF画像でアカウントを乗っ取られる脆弱性【修正済】

米現地時間4月27日、セキュリティソフトウェア会社「CyberArk」のセキュリティ研究者は、ビデオ会議ツール「Microsoft Teams」において乗っ取り可能な脆弱性があることを明らかにしました。

「Microsoft Teams」で悪意のあるGIFファイルを見るだけで、Teamsユーザーのデータ情報を取得し最終的には組織のすべてのTeamsアカウントが乗っ取られる問題があったようです。

この脆弱性は「Microsoft Teams」のWebブラウザ版だけでなく、デスクトップ版も影響を受ける可能性があり、Microsoftでは脆弱性の報告後すぐに修正済みで、4月20日にはリスク緩和のパッチを公開し対策を講じています。

新型コロナウィルスの感染拡大によって、多くの企業や学校でオンライン会議やオンライン授業などが採用されるようになり「Zoom」や「Microsoft Teams」などのビデオ会議サービスの利用者が増えています。

利用者が増える一方で、セキュリティ研究者からはビデオ会議サービスについてセキュリティ面における問題点が指摘されていました。

「Zoom」では悪意のある第三者によって会議室を乗っ取られる「Zoom-bombing」という会議妨害が問題となったり「Microsoft Teams」においても悪意ある攻撃者のターゲットになる脆弱性が発見されたりしています。

セキュリティソフトウェア会社「CyberArk」は、リモートワークが進む中で多くの企業や組織が導入を進めている「Microsoft Teams」のセキュリティに関して調査を行っていました。

「Microsoft Teams」では、ユーザーが「Microsoft Teams」を起動するたび毎回一時的なアクセストークンが生成されます。そして「Microsoft Teams」でサポートされているサービスにアクセスするためのトークンなども生成されています。

そこで「CyberArk」によると攻撃者が特殊な方法で作成したGIF画像を「Microsoft Teams」で送信し、それを受け取ったユーザーがGIF画像を見るだけで、アクセストークンが攻撃者に送信されてしまう脆弱性があることされています。

攻撃者はこのアクセストークンを取得すると「Microsoft Teams」のAPIインターフェイスを介してユーザーのアカウントを乗っ取ることが可能と言います。

アカウントを乗っ取られることで、「Microsoft Teams」上のメッセージを読み取ったり他のユーザーへメッセージを送信したり、またグループの作成やグループへのユーザー追加または削除などが行われる可能性もあります。

これが企業内のリーダーシップを持ったユーザーのアカウントが乗っ取られた場合、金銭的な損害や重要なデータ漏えいなどが引き起こされる可能性があります。

Microsoftは3月23日に「CyberArk」からの報告のその日のうちに悪用されないように修正済とし、4月20日には今後「Microsoft Teams」で同様の問題が発生するリスクを緩和するパッチを公開しています。

Microsoftによるとパッチを発行することでこの問題は最終的に解決されたとしています。