悪意のあるOutlookアドインに同意する

サイバーセキュリティ研究者らは、実環境で検出された最初の悪意あるMicrosoft Outlookアドインと思われるものを発見しました。コードネーム「AgreeToSteal」と呼ばれるこの攻撃は、Microsoft Officeアドインエコシステムへの信頼を悪用する、これまでにない深刻なサプライチェーン攻撃です。

このインシデントでは、脅威アクターが、廃止された正規のOutlookアドインに関連付けられたドメインを乗っ取りました。攻撃者は、期限切れのインフラストラクチャを再利用することで、偽造のMicrosoftログインページを展開し、4,000件を超えるユーザー認証情報を盗み出しました。

この発見は、マーケットプレイスベースのサプライ チェーンの脅威が新たな段階に入ったことを示しており、今回はエンタープライズ生産性ソフトウェアを中核として標的にしています。

生産性向上ツールからフィッシング攻撃の標的へ

侵害を受けたアドイン「AgreeTo」は、複数のカレンダーを統合し、メールで空き時間情報を共有できるようにするために開発されました。最終更新は2022年12月です。

従来のマルウェア配布キャンペーンとは異なり、この攻撃はコードベースの脆弱性を悪用するものではなく、Officeアドインの機能における構造的な弱点を突いたものでした。研究者たちはこれを、ブラウザ拡張機能、npmパッケージ、IDEプラグインといった、承認されたコンテンツが後から変更されても精査の対象外となる信頼できる配布チャネルを標的とした、過去に確認された攻撃の亜種と分類しています。

Office アドインは、いくつかの複合的な要因により、リスクを高めます。

• これらは、機密性の高い通信が処理される Outlook 内で直接実行されます。
• メールの読み取りや変更などの強力な権限を要求する場合があります。
• これらは Microsoft の公式ストアを通じて配布され、暗黙のユーザーの信頼を継承しています。

AgreeToの事例は、重大な事実を浮き彫りにしています。元の開発者は悪意のある行為を一切行っていませんでした。正当な製品が開発され、後に放棄されたのです。攻撃は、プロジェクトの放棄と市場の監視のギャップを突いたものでした。

Officeアドインアーキテクチャの活用

この事件の根底にあるのは、Officeアドインの設計です。開発者はMicrosoftのパートナーセンターを通じてアドインを提出し、そこでソリューションは審査と承認を受けます。しかし、承認は主にマニフェストファイルに基づいており、静的なコードパッケージに基づいているわけではありません。

Officeアドインは従来のソフトウェアとは根本的に異なります。バンドルされたコードではなく、マニフェストファイルでURLを指定します。Outlook内でアドインが開かれるたびに、アプリケーションはそのURLからライブコンテンツを取得し、iframe内にレンダリングします。

このアーキテクチャモデルは重大なリスクをもたらします。承認され署名された後も、アドインは参照先のURLが提供するコンテンツをリアルタイムで読み込み続けます。ドメインの有効期限切れやインフラストラクチャの放棄などによりURLの制御が変更された場合、署名されたマニフェストを変更することなく悪意のあるコンテンツが取り込まれる可能性があります。

AgreeToのケースでは、マニフェストはVercelがホストするURL（outlook-one.vercel[.]app）を参照していました。開発者のデプロイメントが削除され、プロジェクトが事実上放棄された状態になった2023年頃、このURLは請求可能になりました。アドインがMicrosoftストアに掲載されたまま、攻撃者がこのURLを乗っ取りました。

報告時点では、インフラはアクティブなままです。

フィッシングの実行と認証情報の窃取

攻撃者は放棄されたデプロイメントを主張した後、参照されたURLにフィッシングキットをホストしました。この悪意のあるコンテンツは、ユーザーの資格情報を取得するために設計された偽のMicrosoftサインインページを表示しました。

取得されたパスワードはTelegram Bot APIを使用して盗み出されました。その後、被害者は正規のMicrosoftログインページにリダイレクトされ、疑いが薄れ、認証情報の盗難が成功する可能性が高まりました。

観測された活動は認証情報の収集に重点を置いていましたが、研究者たちは、その影響ははるかに深刻であった可能性があると警告しています。このアドインにはReadWriteItem権限が設定されており、ユーザーのメールの読み取りと変更が可能でした。より攻撃的な攻撃者であれば、メールボックスの内容を密かに抽出できるJavaScriptを展開し、企業環境内で強力なスパイ活動の手段を作り出す可能性がありました。

より広範な影響を伴う市場監視のギャップ

Microsoft は最初の申請プロセスでアドインのマニフェストを審査しますが、承認後、参照 URL から提供されるライブコンテンツの継続的な検証は行われません。これにより、構造的な信頼ギャップが生じます。マニフェストは一度署名されますが、参照先のリモートコンテンツは無期限に変更される可能性があります。

AgreeTo アドインは 2022 年 12 月に署名されました。承認時点では元のコンテンツは正当でしたが、現在では同じ URL がフィッシング キットを提供しており、アドインはストアで引き続き入手可能です。

この問題はMicrosoftのエコシステムだけにとどまりません。リモートの動的依存関係を継続的に監視せずに一度申請を承認するマーケットプレイスは、いずれも同様のリスクにさらされています。この構造的な弱点はプラットフォーム間で共通しており、一度承認すれば永久に信頼されるというものです。

市場リスクを軽減するための戦略的緩和策

AgreeToSteal によって明らかになったシステム的な脆弱性に対処するために、セキュリティ専門家はいくつかの対策を推奨しています。

• アドインの参照 URL が当初レビューされたものとは大幅に異なるコンテンツの提供を開始したときに、自動再レビューをトリガーします。
• ドメイン所有権の検証を実装して、インフラストラクチャが開発者の管理下にあることを確認し、ホスティング所有権が変更されるアドインにフラグを設定します。
• 定義された期間内に更新されていないアドインをリストから削除したり、ユーザーに警告したりするメカニズムを確立します。
• インストール数を表示して、露出と潜在的な影響を評価するのに役立ちます。

静的なマニフェスト承認のみに頼るのではなく、ライブ コンテンツを継続的に監視することが、最新の拡張エコシステムにおけるサプライ チェーンのリスクを軽減するために不可欠です。

動的依存関係信頼モデルへの警鐘

AgreeToStealキャンペーンは、現代のソフトウェア配信モデルにおける根本的な課題を浮き彫りにしています。Officeアドイン、ブラウザ拡張機能、そしてマーケットプレイスでホストされる同様のツールは、リモートから動的に提供されるコンテンツに頻繁に依存しています。

定期的な再スキャンと動作の監視を行わないと、信頼されたアプリケーションが気づかないうちに攻撃ベクトルへと進化してしまう可能性があります。

この事例は、プラットフォーム運営者と企業の防御者の両方にとって警告となります。特にリモート インフラストラクチャと動的な依存関係が関係する場合は、信頼を継続的に検証する必要があります。