Outlookアドインが乗っ取られ4,000件超のMicrosoftアカウント情報が窃取された事件の全容

雑記

Microsoft公式ストアに掲載されていたOutlookアドイン「AgreeTo」がハイジャックされ、4,000件を超えるMicrosoftアカウントの認証情報が窃取されるという深刻なセキュリティインシデントが発生した。サプライチェーンセキュリティ企業Koi Securityの研究者によって発見されたこの攻撃は、Microsoft公式マーケットプレイスで初めて確認された悪意あるアドインの事例として注目を集めている。

この記事のポイント

  • Microsoft公式ストアに掲載されていた正規のOutlookアドイン「AgreeTo」が乗っ取られ、フィッシングキットに改変された
  • 4,000件超のMicrosoftアカウント認証情報に加え、クレジットカード番号や銀行セキュリティ質問の回答も窃取された
  • Microsoftのアドイン審査プロセスに重大な欠陥があり、初回審査後の継続的な検証が行われていなかった

攻撃の経緯と手法

AgreeTo は2022年12月に正規のミーティングスケジュール管理ツールとしてMicrosoft Storeに公開されたアドインだった。しかし、元の開発者がプロジェクトを放棄した後もストアには掲載され続けていた。このアドインはVercelでホストされたURL(outlook-one.vercel.app)からすべてのコンテンツを配信する仕組みだったが、攻撃者がこの放棄されたURLの制御権を取得し、悪意あるコードを展開した。

攻撃者がデプロイした悪意あるコンポーネントには、偽のMicrosoftサインインページ、パスワード収集インターフェース、Telegram Bot APIを利用した情報窃取スクリプト、そして正規のMicrosoftログインページへのリダイレクト機能が含まれていた。被害者がハイジャックされたアドインを開くと、Outlookのサイドバーに本物そっくりのMicrosoftログイン画面が表示される。入力された認証情報はTelegram経由で即座に攻撃者へ送信され、その後ユーザーは本物のログインページにリダイレクトされるため、被害に気づきにくい巧妙な仕組みだった。

Microsoftの審査プロセスの欠陥

今回の事件で最も深刻な問題は、Microsoftのアドイン審査プロセスにおける構造的な欠陥だ。Microsoftは初回申請時にマニフェストファイルのみを審査しており、一度承認・掲載されたアドインについては「それ以上の検証プロセスが存在しない」状態だった。つまり、開発者のサーバーから配信されるアドインのコンテンツは、承認後にいくらでも改変可能だったのだ。

この脆弱性は、正規の開発者がプロジェクトを放棄した場合に特に危険となる。外部サーバーに依存するアドインは、そのサーバーのドメインやホスティングアカウントが第三者に取得された時点で、悪意あるコードの配信プラットフォームに変貌する可能性がある。今回のケースでは、VercelでホストされたURLという比較的容易に取得可能なリソースが攻撃の起点となった。

被害の全容と背後の脅威

窃取された情報は4,000件超のMicrosoftアカウント認証情報にとどまらない。クレジットカード番号や銀行のセキュリティ質問の回答も盗まれており、被害の範囲は広範にわたる。Koi Securityの調査では、攻撃者が窃取した認証情報を積極的にテストしていることも確認されている。

さらに、このアドインはReadWriteItem権限を保持しており、メールの読み取りや操作が可能な状態だった。実際にそうした活動が行われた証拠は確認されていないが、潜在的なリスクは非常に高い。

Koi Securityの調査によると、この攻撃者はISP、銀行、Webメールプロバイダーを標的とした少なくとも12の追加フィッシングキットを運用しており、単発の攻撃ではなく組織的な犯罪インフラの一部であることが示唆されている。

知っておくと便利なTips

  • AgreeTo がインストールされている場合は直ちにアンインストールし、パスワードをリセットすること
  • Outlookアドインの権限を定期的に確認し、不要なアドインは削除する習慣をつける
  • ブラウザ拡張機能やアドインが外部サーバーからコンテンツを動的に読み込む場合、公式ストア掲載であっても完全には安全とは言えないことを認識しておく
  • アドインのサイドバーにログイン画面が表示された場合は、別途ブラウザから直接サービスにアクセスして認証を行うのが安全

まとめ

今回の事件は、Microsoft公式マーケットプレイスで初めて確認された悪意あるアドインの事例であり、サプライチェーンセキュリティの新たな脅威を浮き彫りにした。開発者が放棄したアドインが外部ホスティングに依存している場合、そのリソースが第三者に取得されることで、正規の配布チャネルを通じたフィッシング攻撃が可能になるという構造的な問題が明らかになった。Microsoftは事件発覚後にアドインを削除したが、継続的な審査プロセスの欠如という根本的な課題への対応が求められる。利用者側も、公式ストアだからといってすべてが安全とは限らないという意識を持ち、アドインの権限管理と定期的な見直しを怠らないことが重要だ。

📎 元記事: https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/

コメント

タイトルとURLをコピーしました