Outlookアドイン不具合に起因する不正アクセス、4,000件の情報流出事案

非アクティブなOutlookアドインを悪用した情報流出事案

Microsoft Outlook向けアドイン「AgreeTo」が第三者に悪用され、約4,000件のアカウント情報およびクレジットカード情報が不正取得された可能性があることが明らかになった。本件は外部研究者によって確認された事案で、Microsoftのアドイン配布および管理プロセスにおける課題を浮き彫りにしている。

「AgreeTo」は2022年にMicrosoft Officeアドインストアへ登録されたスケジュール管理ツールであったが、プロジェクト停止後に関連ドメインが失効し、第三者に再登録されたとみられる。Officeアドインは外部WebページをOutlook内のiframeとして読み込む構造を採用しており、実行時のURLに依存する仕様となっている。この仕組みを悪用し、攻撃者は既存アドインのインフラを通じて偽のログインページを表示させることが可能となった。

Microsoftの審査プロセスでは、初回承認時にマニフェストファイルを検証するが、その後のURL変更については継続的な再検証が行われない設計であったとされる。攻撃者はこの点を利用し、Outlookのサイドバー上にフィッシングページを挿入した。利用者が認証情報を入力すると、メールアドレス、パスワード、IPアドレスなどが外部へ送信される仕組みが確認されている。

Koi Security の研究者は、盗取されたとみられるデータの存在を確認し、一部では実際に認証情報が悪用された形跡もあると報告した。Microsoftは当該アドインをストアから削除したが、関連インフラの一部は引き続き稼働している可能性がある。

本件は、サードパーティ製アドインにおける動的依存構造とサプライチェーン管理の重要性を示す事例といえる。特に「ReadWriteItem」権限を通じてメール操作が可能であった点は、権限管理および継続的監査体制の見直しを促す内容となっている。