この記事の続きは広告視聴後にご覧いただけます

サイバーセキュリティ

Microsoft #Teams ゲスト招待機能の脆弱性とは?セキュリティリスクと対策を徹底解説

この記事は約8分で読めます。
記事内に広告が含まれています。

2025年11月、セキュリティ企業Ontinueの調査により、Microsoft Teamsのゲスト招待機能に重大なセキュリティギャップが存在することが明らかになりました。この脆弱性は、外部テナントにゲスト参加した従業員が自社のセキュリティ保護を受けられなくなるというもので、フィッシング攻撃やマルウェア感染のリスクを大幅に高めます。

本記事では、Teamsセキュリティの観点から、ゲスト招待機能の悪用手口、企業が受ける影響、そして今すぐ実施すべき対策について、IT管理者やセキュリティ担当者向けにわかりやすく解説します。

1. Microsoft Teamsゲスト招待機能の脆弱性とは

今回発覚した問題は、Teams自体のバグではありません。異なるテナント間のコラボレーションにおける構造的なセキュリティギャップです。

具体的には、自社の従業員が外部のMicrosoft 365テナント(他組織のTeams環境)にゲスト参加すると、自社で適用しているMicrosoft Defender for Office 365による保護が一切適用されなくなるというものです。

ゲスト先(外部テナント)のセキュリティポリシーのみが適用され、自社側のSafe Links、Safe Attachments等の安全機能が無効化されてしまいます。

なぜこの問題が深刻なのか

この問題により、攻撃者はTeamsのゲスト招待機能を悪用して、標的組織の防御網を完全に回避したフィッシング攻撃やマルウェア感染を仕掛けられる可能性があります。従来のメールベースの攻撃と異なり、この手法は以下の点で特に危険です。

  • 正規のMicrosoftインフラを経由するため、メールフィルタで検知されにくい
  • 被害者の所属組織にアラートが上がらないため、攻撃の検知が困難
  • ユーザーはTeamsの通常画面を見ているため、警戒心が薄れやすい

2. 攻撃者の手口:4ステップで理解する悪用方法

セキュリティ企業Ontinueが提示した典型的な攻撃シナリオを、4つのステップに分けて解説します。

Step 1:悪意あるテナントの準備

攻撃者は低コストのMicrosoft 365ライセンス(Teams EssentialsやBusiness Basic、または無償トライアル)で自らのテナントを作成します。

これらの低価格プランにはDefender for Office 365が含まれないため、セキュリティ保護が一切存在しない「無防備な空間」が意図的に作り出されます。

Step 2:標的の選定と招待送信

攻撃者は以下の方法で標的企業の情報を収集します。

  • LinkedInや企業ウェブサイトからの社員情報収集
  • 過去の情報漏洩データの活用
  • もっともらしいコラボレーション依頼やイベント招待の捏造

2025年11月にリリースされた新機能「メールアドレスだけでチャット」(MC1182004)により、相手がTeams利用者でなくてもメールアドレスさえ分かればゲストチャットに招待できるようになりました。この機能は既定で有効化されているため、多くの組織で即座に悪用可能な状態です。

Step 3:招待の受信(信頼される外観)

標的となった社員が受け取る招待には、以下の特徴があります。

  • Teamsアプリ内では「外部からのメッセージ要求」として表示
  • メールはMicrosoftの正規インフラから送信される
  • SPF、DKIM、DMARCの送信ドメイン認証をすべて通過

このため、社内のメールセキュリティ製品でも不審なものとして検知されず、受信者にとって違和感のない内容となります。

Step 4:無防備な環境下での攻撃実行

標的の社員がゲスト招待を承諾すると、以後のやり取りはすべて攻撃者側の環境内で行われます。

攻撃者のテナント内では以下のセキュリティ機能が一切動作しません

無効化される機能通常の役割
Safe LinksURLスキャンによるフィッシング防止
Safe Attachments添付ファイルのマルウェア検査
Zero-hour Auto Purge(ZAP)脅威検知後の自動削除

Ontinueの研究者はこの状態を「被害者は完全に無防備な環境におり、攻撃は自社のセキュリティ境界外で起こっているため組織は全く認識できない」と表現しています。

3. 影響範囲と想定される被害

Microsoft 365/Teamsを利用するほぼすべての組織が潜在的な影響を受ける可能性があります。

多くの企業ではTeamsの外部ユーザー招待がデフォルトで「全世界の任意のMicrosoft 365テナントを許可」する設定になっており、攻撃者からのゲスト招待を誰もが受け入れてしまうリスクが存在します。

被害種別詳細
認証情報の窃取フィッシングリンクをクリックさせ、Microsoft 365の資格情報を盗み取る
マルウェア感染ランサムウェア、バックドア、情報窃取型トロイの木馬などによる端末感染
情報漏洩ソーシャルエンジニアリングにより、機密情報や資料を引き出される
ネットワーク侵入リモート支援ツール(QuickAssist等)を悪用した高度な侵入

これらの攻撃が社内の監視網を一切すり抜けて行われることです。被害企業は、エンドポイントのマルウェア検知が最後の砦として機能するまで攻撃に気付けない可能性があります。

4. 使用されるマルウェアと詐欺手法

今回の脆弱性は特定のマルウェアに依存するものではなく、攻撃者が自由に選択した任意の攻撃ペイロードをターゲットに配信できる経路として機能します。

主な攻撃手法

フィッシングリンク

チャット内にログインページ偽装サイト等へのURLを送りつけ、ユーザーにクリックさせてMicrosoft 365の資格情報や他の認証情報を盗み取ります。Safe Links等の保護が無効化されているため、悪性サイトへのアクセスがそのまま行われてしまいます。

マルウェア添付ファイル

ウイルス感染させたOfficeドキュメント、実行ファイル、PDFなどをTeamsのチャットや共有ファイルとして送付します。Defenderによるマルウェアスキャンやサンドボックス検査が一切行われないため、ファイルを開けば即座に感染します。

送り込まれる可能性のあるマルウェアには以下が含まれます:

  • 情報窃取型トロイの木馬
  • ランサムウェア
  • 遠隔操作ツール(RAT)

ソーシャルエンジニアリング

チャット上で標的社員と継続的な対話を装って信用を得た後、機密データや社内の情報を聞き出したり、偽の依頼をして資料や認証コードを提出させたりします。

場合によっては「技術サポート」を装い、被害者にMicrosoftの正規ツールであるQuickAssist等のリモート支援アプリを起動させ、PC操作を乗っ取る高度な詐欺に発展させることも考えられます。

5. Microsoftの対応状況

2025年11月末時点で、Microsoft自身はこの問題について明確な公式声明や恒久的対策の発表を行っていません

新機能「メールでチャット」(Chat with anyone via email)の提供開始にあたっても、Microsoftは利便性向上のみを強調し、セキュリティ上のリスクには言及していません。

ただし管理者向けには、当該機能を無効化するPowerShellコマンドが案内されています:

Set-CsTeamsMessagingPolicy -Identity Global -UseB2BInvitesToAddExternalUsers $false

注意:この設定は自組織から外部への招待送信を止めるだけで、外部から自社ユーザーへの招待受信を防ぐことはできません

6. 今すぐ実施すべきセキュリティ対策5選

セキュリティ企業Ontinueや専門家コミュニティが推奨する対策を、優先度順に解説します。

対策1:信頼できるドメインにのみゲスト招待を許可

優先度:最高

Microsoft Entra ID(旧Azure AD)の外部コラボレーション設定で、ゲスト招待を許可する外部ドメインを自社が信頼する取引先等に限定します。

デフォルトでは全ドメイン許可になっている場合が多いため、許可リスト方式に切り替えることで未知の攻撃者からの招待を遮断できます。

対策2:クロステナントアクセスポリシーの実装

優先度:最高

Entra IDの「クロステナントアクセス設定」を利用し、自組織と外部テナント間のアクセス制御ルールを作成します。

例えば自組織への着信B2Bコラボレーションを既定でブロックし、取引先テナントのみ例外的に許可するといったポリシーを適用することで、見知らぬテナントからの招待を原則拒否できます。

対策3:Teamsの外部ユーザーとのチャット制限

優先度:

必要ない場合はTeams管理センターで外部との直接チャットや呼びかけ(External Access機能)を無効化します。

外部とやり取りする業務が限定的であれば、この機能自体をオフにすることでリスクを大幅に低減できます。また「メールでチャット」機能についてもポリシーで無効化することを強く推奨します。

対策4:ユーザー教育と警告の徹底

優先度:

社員に対し、以下の点を周知徹底します:

  • 身に覚えのないTeams招待への警戒心を持つ
  • 「突然届く外部組織からのチャット招待はフィッシングの可能性がある」ことを認識する
  • むやみに招待を承諾しない習慣づけ
  • 少しでも疑わしい場合はIT管理部門に相談する

対策5:監視体制の強化

優先度:

万一ユーザーが誤って招待を受け攻撃に遭った場合を想定し、以下の対策を検討します:

  • エンドポイント検知(EDR)による検出強化
  • ログ監視の徹底
  • Azure ADの監査ログで自社ユーザーのゲスト参加イベントを定期確認
対策設定場所優先度実施難度
対策1Entra ID > 外部コラボレーション設定★★★
対策2Entra ID > クロステナントアクセス★★★
対策3Teams管理センター > External Access★★☆
対策4社内研修・周知★★☆
対策5EDR/SIEM/Azure AD監査ログ★☆☆

7. まとめ:ゼロトラスト視点での再考

今回のMicrosoft Teamsゲスト招待機能の脆弱性は、クラウドサービスの利便性向上に伴う新たな攻撃リスクを浮き彫りにしました。

この事例から得られる教訓

  1. 「社外のコラボレーション相手の安全性まで考慮する必要がある」という新たな視点
  2. 従来のメールやWebフィルタだけでは防げない「盲点」の存在
  3. ゼロトラストや境界防御の再考の必要性

企業として今すぐ取り組むべきこと

  • セキュリティポリシーの再確認:自社のTeams外部コラボレーション設定を点検し、ドメイン制限やアクセスポリシーを導入
  • 従業員への周知徹底:「外部からのTeams招待には細心の注意を払う」旨を共有
  • インシデント対応計画の更新:EDRやログ監視による検出強化策を検討

💡 アクションポイント Microsoftから公式対応が出るかは不透明ですが、現状では各企業が主体的に防御策を講じる必要があります。「信頼できる相手とのみコラボレーションする」という原則に立ち返った設定変更と、従業員へのセキュリティ意識付けを速やかに実施しましょう。

コメント

タイトルとURLをコピーしました