概要

Check Point Researchは、Microsoft Teamsに存在する4つの重大な脆弱性を発見しました。これらの脆弱性を悪用することで、攻撃者は役員になりすまし、メッセージを操作し、通知を改ざんし、ビデオ通話や音声通話中に身元を偽装することが可能になります。この発見は、月間3億2,000万人のアクティブユーザーが日常のビジネスコミュニケーションで信頼しているプラットフォームの信頼性を根本的に揺るがすものです。

発見された脆弱性の詳細

Check Point Researchが特定した脆弱性は、攻撃者がTeamsの主要機能を悪用する複数の攻撃ベクトルを明らかにしました。特に注目すべきは以下の点です。

• メッセージの編集と改ざん: 攻撃者はclientmessageidパラメーターを操作することで、痕跡を残さずにメッセージを編集でき、悪意のあるコンテンツを信頼できる同僚からの正当な通信であるかのように見せかけることが可能です。
• 通知のなりすまし: メッセージ通知を偽装し、権威ある人物や役員からの通信に関連する心理的な緊急性を悪用して、偽の送信者IDを表示させることができます。CVE-2024-38197として追跡されているこの脆弱性は、不適切な入力検証に起因し、Web、iOS、Android版のMicrosoft Teamsに影響を与え、CVSSスコアは6.5（中程度）と評価されています。
• チャットの話題操作: プライベートチャットでは、攻撃者はconversation topicパラメーターを操作して表示名を変更し、両当事者を誤解させることができました。
• 通話中の身元偽装: 最も懸念されるのは、通話開始リクエストを変更して発信者IDを偽装できることで、攻撃者はビデオ通話や音声通話中に任意の人物になりすますことが可能でした。

現実世界の攻撃シナリオ

これらの脆弱性は、組織にとって重大なリスクをもたらします。考えられる攻撃シナリオには以下のようなものがあります。

• 役員へのなりすまし: 攻撃者が偽装された通知や操作されたメッセージを通じて、CEOや財務担当役員になりすますことで、説得力のある役員なりすましシナリオが現実のものとなります。
• マルウェアの配信: 信頼できる権威者からの緊急に見えるメッセージを作成し、従業員を悪意のあるリンクをクリックするように誘導することで、マルウェアを配信できます。
• 認証情報の窃取: 攻撃者が内部の担当者、特に財務部門のメンバーになりすますことで、従業員を騙して機密情報を開示させる認証情報窃取攻撃がより効果的になります。
• 誤情報キャンペーン: メッセージ履歴を偽造し、通話IDを操作する能力は、組織内で誤情報キャンペーンを可能にし、重要なビジネスオペレーション中に誤った情報を拡散させる可能性があります。
• 機密ブリーフィングの妨害: 参加者になりすますことで、機密ブリーフィングを妨害し、混乱を引き起こしたり、出席者を騙して機密情報を開示させたりする可能性があります。

脆弱性の開示と修正

Check Point Researchは、2024年3月23日にこれらの脆弱性をMicrosoftに責任を持って開示しました。Microsoftは報告を認め、調査を約束しました。その後、同社は異なるタイムラインで各脆弱性に対処するパッチを発行しました。

• メッセージ編集の脆弱性は2024年5月8日に修正されました。
• 表示名操作の問題は2024年7月31日に解決されました。
• CVE-2024-38197として追跡された通知なりすましの脆弱性は、2024年9月13日に修正されました。
• 発信者IDなりすましの脆弱性は、2025年10月末までに修正されました。

すべての脆弱性は修正されており、MicrosoftがすべてのTeamsプラットフォームに必要なアップデートを展開済みであるため、ユーザー側での対応は不要です。

元記事: https://gbhackers.com/attackers-exploit-microsoft-teams-flaws/