ニュース, Privacy

Outlookアドインが不正動作し、4,000件の認証情報と支払いデータを窃取

ピーター・アーンツ| 2026年2月12日
Outlook ロゴ

研究者らは、4,000件の盗まれたMicrosoftアカウントの認証情報、クレジットカード番号、および銀行のセキュリティ回答を窃取できる悪意のあるMicrosoft Outlookアドインを発見した。 

マイクロソフト オフィス アドイン ストアが、Outlookのサイドバー内にフィッシングキットを密かに読み込むアドインの掲載を終了したとは、どういうことなのか?

ある開発者が「AgreeTo」というアドインを公開した。Chrome 備えたオープンソースの会議スケジュール管理ツールである。人気を博していたが、ある時点で開発者が開発を放棄し、Vercel上のバックエンドURLが期限切れとなった。その後、攻撃者がその同じURLを乗っ取った。

それには説明が必要です。Officeアドインは本質的にXMLマニフェストであり、Outlookに特定のURLをiframeで読み込むよう指示します。Microsoftはマニフェストを一度審査して署名しますが、その後そのURLが提供する内容を継続的に監視することはありません。

したがって、outlook-one.vercel.app サブドメインが自由に取得可能になると、サイバー犯罪者がこの機会を逃さず、2022年に要求・承認された強力な「ReadWriteItem」権限を悪用するためにこれを取得しました。この権限により、アドインは読み込まれた際にユーザーのメールを読み取り・変更することが可能でした。この権限は会議スケジューラーには適切でしたが、犯罪者にとっては別の目的を果たすものでした。

Chrome 削除したものの、OutlookアドインはMicrosoftのOfficeストアに掲載されたままで、もはや元の開発者に属さないVercelのURLを指し続けていた。

攻撃者はそのVercelサブドメインを登録し、偽のMicrosoftログイン、パスワード収集、Telegramベースのデータ流出、そして本物のlogin.microsoftonline.comへのリダイレクトで構成される、単純な4ページのフィッシングキットを展開した。

この手法が機能した理由は単純かつ効果的だった。ユーザーがアドインを開くと、Outlook内で通常のMicrosoftサインイン画面のように見えるものが表示された。ユーザーが認証情報を入力すると、JavaScript関数を通じて攻撃者のTelegramボットにIPデータと共に送信され、その後本物のMicrosoftログイン画面に転送されるため、不審な点は一切見られなかった。

研究者らは攻撃者のセキュリティ対策が不十分なTelegramベースの情報流出経路にアクセスし、4,000件以上の盗まれたMicrosoftアカウント認証情報に加え、支払い・銀行データを回収した。これにより、この攻撃キャンペーンが活発に活動しており、複数のブランドを対象とした大規模なフィッシング作戦の一部であることが示された。

「同一の攻撃者が少なくとも12種類の異なるフィッシングキットを運用しており、それぞれが異なるブランド(カナダのISP、銀行、ウェブメールプロバイダー)を装っている。盗まれたデータにはメール認証情報だけでなく、クレジットカード番号、CVV、PIN、Interac e-Transfer支払いを傍受するために使用される銀行のセキュリティ質問の回答も含まれていた。これはプロフェッショナルなマルチブランドフィッシング作戦であり、Outlookアドインはその配布経路の一つに過ぎなかった。」

どうすればいい

2023年5月以降にAgreeToアドインを使用している場合、または使用したことがある場合:

  • 必ず削除されていることを確認してください。削除されていない場合は、アドインをアンインストールしてください
  • Microsoft アカウントのパスワードを変更してください。
  • そのパスワード(または類似のパスワード)を他のサービス(メール、銀行、SaaS、SNS)で再利用している場合は、それらも変更し、それぞれに固有のパスワードを設定してください。
  • Microsoft アカウントの最近のサインインとセキュリティ活動をレビューし、不明な場所やデバイスからのログイン、または不自然な時間帯のログインがないか確認してください。
  • メールで共有した可能性のあるその他の機密情報を確認してください。
  • メールボックスを不正利用の兆候がないか確認してください:送信していないメッセージ、作成していない自動転送ルール、または要求していない他のサービスのパスワード再設定メールなど。
  • 少なくとも今後数か月間は、支払い明細を注意深く確認してください。特に、少額の「テスト」請求や予期しない電子送金・非対面カード取引に注意し、不審な取引があれば直ちに異議申し立てを行ってください。

脅威を報告するだけでなく、お客様のデジタルアイデンティティ全体を保護します

サイバーセキュリティリスクは見出し以上の広がりを決して許さない。本人確認保護サービスを活用し、あなたとご家族の個人情報を守りましょう。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

AI
手が下へ伸びて、書かれたパスワードから一つのアスタリスクをつかむ。

AI生成パスワードはセキュリティリスクである

2月19, 2026

AI生成パスワードは「予測可能性が極めて高く」、真にランダムではないため、サイバー犯罪者による解読が容易である。

ニュース
テンガ ロゴ

親密な製品メーカーのテンガが顧客データを流出させた

2月19, 2026

テンガ社員に対するフィッシング攻撃により、米国顧客データが流出した可能性がある。顧客はセクストーションを題材としたフィッシング攻撃に警戒すべきである。

データ侵害
ベターメントのロゴ

ベターメントのデータ侵害は、当初考えられていたよりも深刻かもしれない

2月18, 2026

今回の侵害ははるかに深刻な事態であることが判明した。漏洩したデータには、フィッシング詐欺師が悪用可能な詳細な個人情報や財務情報が含まれている。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺