Teamsのゲストチャットにセキュリティ上の穴：ユーザーがフィッシングやマルウェア攻撃に晒されるリスク

佐々山 Tacos

2025.11.27

Microsoft Teamsのゲストチャットにセキュリティ上の穴：ユーザーがフィッシングやマルウェア攻撃に晒されるリスク

HackRead – November 26, 2025

Microsoft Teamsの「B2B ゲストユーザー」アクセスにおけるセキュリティギャップの存在が、セキュリティ企業Ontinueの調査により明らかに。このギャップにより、従業員が自組織外のテナントに外部ゲストとして参加すると、自組織が設定したMicrosoft Defender保護が失われることになるという。

Ontinueによれば、この問題はTeam自体の欠陥ではなく、クロステナント（組織間）コラボレーションの構造的な現実に起因するもの。あるユーザーが別のテナントの「ゲスト」となる場合、当該ユーザーには自らの所属組織のセキュリティポリシーではなく、コラボレーション先のホスト側のポリシーが適用されることになる。したがって、もしも悪意ある攻撃者がセキュリティ措置をすべて無効化したテナントを用意し、ターゲット企業の従業員を「ゲスト」として招待してこの従業員が招待を受け入れた場合、当該従業員はフィッシングやマルウェアからの保護が存在しない空間へ迷い込むことになってしまうという。

Microsoft Defender for Office 365では、Teamsのために以下のような保護レイヤーが提供されている。

Safe Links（安全なリンク）：クリック時にURLをスキャンし、悪意のあるリンクだった場合にブロックする。
Zero-hour Auto Purge（ZAP、0 時間自動消去）：後から判明した悪性メッセージを遡って削除する。
Real-time URL scanning（リアルタイム URL スキャン）：既知の悪意あるドメインを事前にブロックする。
Safe Attachments（安全な添付ファイル）：共有ファイルを安全な環境で実行（デトネーション）し、分析する。

Ontinueはこれらの保護について、多くのセキュリティチームは次のような前提で運用している可能性があると指摘：

「Defender for Office 365 のポリシーは、どこにいても自組織のユーザーを保護してくれる」
「自分たちは、自組織のユーザーが外部とコラボレーションできるかどうかを制御できている」
「ゲストユーザーは、ゲストユーザー自身が所属するテナントのセキュリティ制御を維持している」

しかし実際には、セキュリティチームは次の点を考慮する必要があるという：

適用される保護は「ユーザーのアカウントがどこに属しているか」ではなく、「Teamsでの会話がどこでホストされているか」によって決まる
つまり組織のユーザーは、悪意ある環境では無防備な「ゲスト」となり、攻撃者側のセキュリティポリシーに完全に支配されることになる

これを踏まえ、Ontinueは考え得る攻撃シナリオを以下のように説明した。

①攻撃者は、低価格なライセンス（Teams Essentialsプラン、Business Basicプラン、またはトライアルプラン）を使って悪意あるMicrosoft 365テナントを作成。これらのライセンスにはMicrosoft Defender for Office 365が含まれていないため、作成されたテナントは攻撃者が自ら設定せずとも前述の保護レイヤが不在の空間となる。

②LinkedIn、Webサイト、過去のデータ侵害などを探り、Eメールパターン分析などを駆使してターゲット組織のユーザーおよびメールアドレスを特定。「協業の提案」「カンファレンスやイベントへの参加案内」など、もっともらしいシナリオをでっちあげてTeamsへのゲスト招待を行う。

③ターゲット従業員は、すでにTeamsユーザーの場合はTeamsで直接、そうでない場合はEメール経由で招待を受け取る。このEメールはマイクロソフトのインフラから送られ、SPF、DKIM、DMARCの検証もすべて通過するため、ほとんどのメールセキュリティ製品は警告を発しない。

④ターゲットが招待に応じれば、攻撃者は検知されずにフィッシングリンクを送信したり、スキャンに引っ掛かることなくマルウェアを無制限に配布したりできるようになる。

マイクロソフトは11月から、Teamsを利用していない相手ともメールアドレスさえわかればチャットを開始できるという新機能（MC1182004）を有効化しており、ゲスト招待を配布するのはますます容易になっている。このような状況の中、Ontinueは上記のようなリスクを理解した上で以下の保護策を実施することを推奨している：