脅威の概要

Microsoft 365のOutlookアドインを悪用し、メールデータを密かに外部に流出させる新しい手口がセキュリティ研究者によって発見されました。この手口は「Exfil Out&Look」と名付けられ、Outlook Web Access（OWA）のアドインと監査ログの処理方法の盲点を突くことで、従来のMicrosoft 365監視では検出が困難な状態を作り出します。

「Exfil Out&Look」攻撃の手法

Outlookアドインは、XMLマニフェストで定義されたHTML、CSS、JavaScriptで構成されるウェブベースの小さなアプリケーションです。通常、Outlookデスクトップ版でアドインがインストールされるとローカルにイベントが記録されます。しかし、OWAを介して同じアドインがインストールされた場合、Microsoft 365の統合監査ログ（Unified Audit Log）には、たとえE5環境で監査が有効であっても、インストールや実行に関する記録が残らないことが判明しました。

概念実証（PoC）では、Microsoftの公式Yeomanジェネレーターを使用して基本的なOutlookアドインが作成されました。このアドインは、現在アクティブなアイテムへのアクセスという最小限の権限のみを要求するため、ユーザーへの同意プロンプトは表示されません。マニフェスト内の`LaunchEvent`構成が`OnMessageSend`イベントにフックされることで、ユーザーがメールを送信するたびにアドインが自動的に実行されます。リモートサーバーでホストされたJavaScriptペイロードは、メールを傍受し、その内容を抽出し、非同期の`fetch()`コールを使用して外部サーバーにサイレントに送信します。

監査ログの盲点

この挙動は、Outlookのデフォルトのアドインモデルでサポートされており、最小限の権限しか使用しないため、メール内容の翻訳、要約、AI処理のためにクラウドサービスに送信する正当なアドインと区別がつきません。さらに深刻なのは、管理者が悪用された場合です。グローバル管理者またはExchange管理者は、悪意のあるマニフェストをMicrosoft 365管理センターにアップロードし、「全員」に対して「固定」として展開することができます。このシナリオでは、テナント内のすべてのメールボックスから送信されるすべてのメールが傍受され、外部に流出しますが、ユーザーはアドインを削除できません。

初期展開時に「Added Service Principal」や「Created New App」のようなログエントリが作成される可能性はありますが、その後のメッセージ傍受やデータ転送は統合監査ログには一切記録されません。

攻撃シナリオとMicrosoftの対応

この脆弱な組み合わせ（最小限の権限、送信時の自動実行、OWAでのログ不足）は、以下の複数の攻撃シナリオを可能にします。

• 内部不正利用
• アカウント侵害後の永続的なアクセス
• 特権ロールの悪用による大量データ流出
• 一見正当に見えるサードパーティ製アドインを通じたサプライチェーンリスク

Varonisは2025年9月30日にこの問題をMicrosoftに報告しましたが、Microsoftはこれを低重大度の製品バグまたは提案として分類し、当面の修正計画はないものの、一般公開を許可しました。

推奨される対策

パッチが提供されない状況でこの手口がすでに利用可能であるため、組織はOutlookアドインに対するガバナンスを強化することが強く推奨されます。

• カスタムマニフェストをアップロードできるユーザーを制限する。
• 組織全体のアドインおよび関連するサービスプリンシパルを定期的にレビューする。
• Outlookクライアントからの不審な外部トラフィックを検出するために、ネットワーク監視に頼る。

---

元記事: https://gbhackers.com/attackers-weaponize-microsoft-365-outlook/