【要点】
◎Outlook Webのアドインを悪用し、監査ログを残さず機密メールを窃取する「Exfil Out&Look」手法が判明。Microsoftは修正予定なし (窓の杜)
【要約】
米Varonisは、Microsoft 365のOutlookアドインを悪用し、監査ログを残さずに機密メールを窃取できる攻撃「Exfil Out&Look」を公表した。Web版Outlookではアドイン導入や挙動の可視化が弱く、最小権限のアドインでも件名や本文、宛先にアクセス可能。正規アドインも外部送信を行うため、通信監視だけでは悪性判別が難しい。Varonisは2025年にMSRCへ報告したが、低重要度として修正予定は示されなかった。対策として、ユーザーのアドイン追加制限、配布アドインの定期監査、外部通信監視、利用者教育の徹底を推奨している。
【ニュース】
◆アドイン経由で「Outlook」から機密メールを盗む「Exfil Out&Look」攻撃 (窓の杜, 2026/02/05 11:05)
米セキュリティ企業が明らかにするも、Microsoftによる対応の予定なし
