初の悪意のあるOutlookアドインが発見

サイバーセキュリティ研究者は、最初に確認された悪意のあるMicrosoft Outlookアドインを発見したと報告しています。この攻撃は、Koi Securityによって詳細に説明され、未知の攻撃者が合法的なアドインに関連するドメインを取得し、偽のMicrosoftログインページを提供することで、4000以上の資格情報を盗むことに成功しました。

サイバーセキュリティ企業によるコードネーム

Koi Securityはこの攻撃を「AgreeToSteal」と呼び名をつけました。このアドインは、ユーザーが異なるカレンダーを一箇所で接続し、メールを通じて可用性を共有する方法として開発者によって宣伝されています。

攻撃の詳細

Koi Securityの共同設立者兼CTOであるIdan Dardikmanは、「この攻撃はブラウザ拡張機能、npmパッケージ、IDEプラグインで見られるような信頼された配布チャネルでのコンテンツ変更後の供給チェーン攻撃の一種です」と述べています。

Officeアドインの脆弱性

Officeアドインは、ユーザーが最も機密な通信を処理するOutlook内で実行され、メールを読み取りおよび変更する権限を要求できます。また、Microsoft自身のストアを通じて配布されるため、暗黙的な信頼があります。

攻撃者の行動

攻撃者は、開発者がプロジェクトから離れた後とプラットフォームがそれを認識するまでの間隔を活用しました。このアドインは「ReadWriteItem」権限を設定されており、これが悪意のあるアクターによって悪用されると、JavaScriptを使用してユーザーのメールボックスの内容を密かに抽出することが可能になります。

セキュリティ上の懸念

Koi Securityは、MicrosoftがアドインのURLがレビュー時に提供されたものと異なるコンテンツを開始する場合に再審査をトリガーすることや、ドメインの所有権を確認し、プラットフォームで変更が発生した場合にフラグを立てることなどを推奨しています。

まとめ

この問題はMicrosoftマーケットプレイスだけでなく、他の市場にも影響を与える可能性があります。すべての市場が一度レビューして信頼するという構造的な問題があるためです。

---

元記事: https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html