「Microsoft Teams」にアカウント乗っ取りの脆弱性--修正済み

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2020-04-28 13:31

 Microsoftは、最終的にユーザーアカウントの乗っ取りにつながる可能性のある「Microsoft Teams」の脆弱性を修正した。

 米国時間4月27日、CyberArkのセキュリティ研究者は、乗っ取り可能なサブドメインと悪質なGIFファイルを組み合わせて利用することで、Teamsユーザーのデータを取得し、最終的には特定の組織のすべてのTeamsアカウントを乗っ取ることができる問題があったことを明らかにした

 ウェブブラウザ版だけでなく、デスクトップ版のTeamsもこの問題の影響を受ける可能性があった。

 CyberArkの調査チームは、Microsoft Teamsの調査を行う過程で、クライアントが起動されるたびに、login.microsoftonline.comで認証された一時的なトークンが新たに作成されていることを発見した。その後、「SharePoint」や「Outlook」などのTeamsでサポートされているサービスにアクセスするためのトークンをはじめとする、他のトークンも生成されていた。

 Teamsでは、コンテンツへのアクセス許可を制限するために、「authtoken」と「skypetoken_asm」の2つのクッキーをトークンとして使用している。後者のskypetoken_asmは、「teams.microsoft.com」か、そのサブドメインにauthtokenを送信することで作成される。ところが、そのteams.microsoft.comの2つのサブドメインが乗っ取り可能な状態になっていることが明らかになったという。

 調査チームは、「何らかの手段を使って、ユーザーを乗っ取られたサブドメインにアクセスさせることができれば、被害者のブラウザから攻撃者のサーバーにこのクッキーが送られ、攻撃者は(authtokenを受け取って)Skypeトークンを作成することができる」と述べている。「これらの作業に成功すれば、攻撃者は被害者のTeamsアカウントの情報を盗むことができる」

 この攻撃手順を実行するには乗っ取ったサブドメインの証明書を発行する必要があるが、CyberArkの調査チームは、ドメインの乗っ取りに成功していれば、これはそれほど難しい問題ではないと述べている。

 またCyberArkは、乗っ取ったサブドメインにアクセスさせるには、Teamsチャットに、src属性に乗っ取ったサブドメインを指定したGIFファイルを送り、それをクリックさせるだけでよいことも発見した。この手法では、画像を表示させるだけでよいため、同時に複数の被害者に影響を与えることができる。

 CyberArkは、攻撃を実行方法を示すための概念実証コードと、Teamsの会話を取得するために使えるスクリプトを公開した。

 CyberArkは、3月23日にこの問題をMicrosoftに報告した。Microsoftはその日のうちに、設定が誤っていたサブドメインのDNSレコードを修正した。また、4月20日には、今後Teamsで同様の問題が発生するリスクを緩和するパッチを公開している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]