マイクロソフトのバグにより、誰もが同社従業員になりすましたEメールを送れるように
マイクロソフトのコーポレートEメールアカウントが発信元であるかのようなメッセージを送って同社スタッフになりすますことを可能にするバグを、研究者のVsevolod Kokorin氏が発見。このバグを利用すれば、任意のユーザー名とドメイン(microsoft.com)を組み合わせて、例えば「security@microsoft.com」といったメールアドレスからメッセージを送信することができるようになるのだという。ただし、この手法はメールの送信先がOutlookアカウントの場合にのみ有効だとされる。
Kokorin氏(X/旧Twitterのユーザー名は「Slonser」)は先週Xにおいて、数か月前にこのバグを発見してマイクロソフトに報告し、PoCも共有したものの、同社はバグを「再現できない」と述べてKokorin氏の報告を退けた、と投稿。無下にされたことに不満を感じ、この件をX上で公表することにしたのだという。同氏の当該X投稿には、送信者名が「Microsoft Security」、アドレスが「security@microsoft.com」のアカウントから送られたEメールのスクリーンショットが添付されている。
Kokorin氏は、悪意ある第三者による悪用を防ぐため、バグ自体の技術的な詳細はXの投稿に含めていない。しかしITテクノロジーメディアのTechCrunchに宛てて、バグ実演のためにマイクロソフトのアカウントセキュリティチームを装ったEメールを送って見せたという。バグの詳細も併せてTechCrunchに共有されている模様だが、同紙も同様に悪用防止のためこれを公表する意思はないとしている。悪意あるアクターらがこの情報を掴めば、極めて巧妙なフィッシングが実施されて騙される被害者が増えたりする恐れがある。
マイクロソフトは現時点でまだこのバグを修正していない。しかしKokorin氏はTechCrunchに対し、「マイクロソフトは私のツイートに気づいたのかもしれません。私が数か月前に提出したレポート数件のうち1つが、数時間前に再び開かれていたので」と述べている。したがって今後、同社によって何らかの対応が実施されることも考えられる。