セキュリティバグにより、誰でもMicrosoft社員のメールをなりすますことが可能に

リサーチャーが、誰でもMicrosoftの社員アカウントをなりすますことができるバグを発見しました。これにより、フィッシング詐欺がより説得力があり、ターゲットをだましやすくなる可能性が高まります。

現時点では、このバグは修正されていません。リサーチャーは、このバグを示すために、Microsoftのアカウントセキュリティチームから送信されたかのようなTechCrunchにメールを送信しました。

先週、Vsevolod Kokorin(オンラインではSlonserとしても知られています)は、このメールスプーフィングバグを発見し、Microsoftに報告しましたが、会社はその報告を却下し、所見を再現できなかったと述べました。これにより、KokorinはX上でこのバグを公表しましたが、他の人がそれを悪用するのを助ける技術的な詳細は提供していません。

最近の私のケースを共有したいと思います:
> どのユーザー@ドメインからもメッセージを送信できる脆弱性を発見しました
>それを再現できません
>悪用のビデオ、完全なPoCを送信します
>それを再現できません
この時点で、私はMicrosoftとの連絡をやめることに決めました。pic.twitter.com/mJDoHTn9Xv

— slonser (@slonser_) June 14, 2024

"Microsoftは詳細を提供せずに、再現できないと述べただけでした」とKoroinはTechCrunchとのオンラインチャットで語りました。「Microsoftは私のツイートに気付いたかもしれません。数時間前に数ヶ月前に提出したレポートを再度開いた」と過去形で述べた。

Kokorinによると、このバグはOutlookアカウントにメールを送信する場合のみ機能します。しかし、Microsoftの最新の収益報告によると、それは世界中で少なくとも4億人のユーザーからなるグループです。

Kokorinによると、6月15日にMicrosoftに最後にフォローアップをしました。火曜日にTechCrunchのコメントリクエストにMicrosoftは応答していませんでした。

悪用を防ぐために、TechCrunchはこのバグの技術的な詳細を明らかにしていません。

"私は自分の投稿がそんなに反応するとは思いませんでした。正直に言うと、私はこの状況に悲しくなっただけでした」とKokorinは述べました。「多くの人が私を誤解して、お金などを求めていると思っていますが、実際には、研究者を無視せず、助けを求めるときにもっとフレンドリーであってほしいと願っているだけです。」

他の誰かがKokorin以外にこのバグを発見したか、または悪用されたかは分かりません。

この時点でのこのバグの脅威は不明ですが、Microsoftは最近数多くのセキュリティ問題に直面しており、連邦規制機関や議会の議員による調査を引き起こしています。

先週、Microsoftのブラッド・スミス社長が、中国が2023年に米連邦政府のメールをMicrosoftのサーバーから盗んだことを証言しました。スミスは、セキュリティの恥辱を受けた後の企業におけるサイバーセキュリティの優先順位を改めて約束しました。

その数ヵ月前の1月、Microsoftはロシア政府とつながるハッキンググループが、同社の企業メールアカウントに侵入し、ハッカー自身について企業のトップエグゼクティブがどれだけ知っているかについての情報を盗んだことを確認しました。先週、ProPublicaは、Microsoftがソーラーウインズを標的としたロシア支援のサイバースパイ活動で後に悪用される重要な欠陥に関する警告を無視したことを明らかにしました。