誰でもMicrosoftの従業員になりすましてメールを送れるバグが発見される

MicrosoftのメールクライアントであるOutlookに電子メールを送信する際に、誰でもMicrosoftの従業員になりすました電子メールを送信できるバグが発見されています。

Security bug allows anyone to spoof Microsoft employee emails | TechCrunch
https://techcrunch.com/2024/06/18/security-bug-allows-anyone-to-spoof-microsoft-employee-emails/

SolidLabのセキュリティ研究者であるヴセヴォロド・ココリン氏はX(旧Twitter)に、「任意のユーザードメインからメッセージを送信できる脆弱(ぜいじゃく)性を発見しました」とのポストを投稿。実際にココリン氏は、あたかもMicrosoftのセキュリティ部門である「Microsoft Security」から送信されたように見える電子メールを公開しています。

ココリン氏によると、このバグはOutlookアカウントに電子メールを送信するときにのみ発生するとのこと。しかし、MicrosoftはOutlookユーザーの数を「世界中で約4億人」と報告しており、バグの影響の広がる範囲が非常に広いことが危惧されています。

そのため、ココリン氏は「悪意のあるハッカーが今回のバグを悪用するのを防ぐため」として、バグに関する技術的な詳細を明かしていません。

ココリン氏はMicrosoftに対して今回のバグを報告しましたが、Mirosoft側は「ココリン氏の報告を再現できない」として調査を却下。そこでココリン氏は今回のバグをXで報告したというわけです。ココリン氏はMicrosoftのこの姿勢に対して「同様の問題をGoogleに報告した際には、問題はただちに解決され、無視されることはありませんでした」と批判しています。

なお、ココリン氏はその後「Microsoftは今回の私の投稿に気付いたらしく、今回のバグに関する検証を再開したと連絡がありました」と述べています。

ココリン氏は「私の小規模なXアカウントでこれほど多くの反応が得られると思っていませんでした」「私はお金をもらいたいがために今回のバグについて投稿したわけではありません」と語っています。また、海外メディアのTechCrunchに対しては「企業には研究者を軽視せず、もっと友好的にサポートしてほしい」と訴えています。