はじめに:Teamsの脆弱性が露呈
セキュリティ研究者らが、Microsoft Teamsに重要な脆弱性を発見しました。この欠陥は、攻撃者が悪意のあるテナント環境にユーザーを招待することで、Defender for Office 365のすべての保護機能をバイパスできるというものです。この脆弱性は、Teamsがテナント間のコラボレーションとゲストアクセスを処理する方法における、基本的な設計上のギャップを悪用しています。
この脆弱性の核心は、ほとんどのセキュリティチームが抱いている根本的な誤解にあります。従業員が外部のTeamsテナントへのゲスト招待を受け入れると、自組織が提供するすべてのセキュリティ保護が失われるという点です。その代わりに、彼らはホスティングテナントのセキュリティポリシー(またはその欠如)の管轄下に置かれ、攻撃者はそこですべての防御機能を無効にできるのです。
完璧な攻撃ベクトル:新機能の悪用
Microsoftが2025年11月に展開した新機能「MC1182004」は、Teamsユーザーが電子メールアドレスだけで誰とでもチャットを開始できるというものです。この機能は、世界中のすべてのテナントでデフォルトで有効になっており、組織側からのオプトインは不要です。これにより、今回の攻撃ははるかに現実的なものとなりました。
攻撃の流れ
- 低コストのテナント設定: 攻撃者は、Teams Essentialsの試用版やBusiness Basicサブスクリプションなど、低コストのMicrosoft 365テナントをセットアップします。これらのライセンスにはDefender for Office 365が含まれておらず、テナントには組み込みの保護機能がありません。Safe Linksスキャン、マルウェア検出、Zero-hour Auto Purgeなど、一切の保護がありません。
- 招待の送信: 攻撃者はMC1182004を利用して、ビジネスパートナーシップやベンダーとの議論といった説得力のある口実で、正規の組織のターゲット従業員にTeamsチャット招待を送信します。
- 保護なき環境への誘導: 被害者がこれらの招待を受け入れると、攻撃者の保護されていない環境に入り込みます。
- 攻撃の実行: 攻撃者は、Safe Linksスキャンをトリガーすることなくフィッシングリンクを送信したり、添付ファイルの分析なしにマルウェアを配布したり、大規模なソーシャルエンジニアリングを実施したりできます。これらすべてが、被害者の組織が全く気付かないうちに行われます。
組織が高額なDefender for Office 365に投資していても、攻撃がセキュリティ境界の外で発生するため、これらの投資は決して有効になりません。Ontinueによると、この脆弱性は、ほとんどの組織が世界中のあらゆるMicrosoft 365テナントからのゲスト招待を制限なく受け入れているという、危険なデフォルト設定も浮き彫りにしています。
組織が取るべき軽減策
セキュリティチームは、いくつかの管理策を導入することでこのリスクを軽減できます。主な対策は以下の通りです。
- 信頼できるドメインに制限: 組織は、Microsoft Entra IDの「External collaboration settings」を通じて、B2Bゲスト招待を信頼できるドメインのみに制限できます。
- クロステナントアクセスポリシーの設定: 詳細なクロステナントアクセスポリシーを設定し、B2Bコラボレーションをデフォルトでブロックまたは制限できます。
- 外部Teams通信の制限: Teams管理センターを通じて、外部のTeams通信を特定の外部ドメインにのみ制限できます。
- MC1182004機能の無効化: PowerShellコマンドを使用してMC1182004機能を無効にすることも可能ですが、これは発信招待を防ぐだけで、悪意のあるテナントからの受信招待は防げません。
結論:セキュリティ保護の原則を理解する
この欠陥は、Teams自体の技術的な欠陥というよりも、セキュリティチームが十分に把握していなかったテナント間コラボレーションのアーキテクチャ上の現実を表しています。Microsoftが柔軟な働き方をサポートするために外部コラボレーション機能を拡大し続ける中、組織は、その結果生じる保護のギャップが大規模な攻撃に悪用される前に、ゲストアクセスポリシーを積極的に保護する必要があります。
この研究は、重要な原則を強調しています。それは、セキュリティ保護は「リソーステナント」に従い、「ホームテナント」には従わないということです。組織がこの違いを理解し、それに基づいて行動するまで、ユーザーは巧妙な攻撃に対して脆弱なままとなるでしょう。