Teamsに新機能「外部メールチャット」 利便性の一方でセキュリティリスクも：セキュリティニュースアラート

MicrosoftはTeamsに外部の人物と直接チャットを開始できる新機能を搭載すると発表した。Teamsを利用していない相手にもチャットの招待を送信できる。しかしこの機能にはセキュリティ懸念が指摘されている。

[後藤大地，ITmedia]

　Microsoftは2025年11月から「Microsoft Teams」（以下、Teams）において、電子メールアドレスを使って外部の人物と直接チャットを開始できる新機能を段階的に展開する。Teamsを利用していない相手にもチャットの招待を送信でき、受信者は電子メール経由で招待を受け取り、ゲストとして会話に参加できるようになる。

　対象となるのはTeamsの「Essentials」「Business Basic」「Business Standard」「Business Premium」のライセンスを持つ中小企業であり、「Android」「iOS」「Windows」「macOS」「Linux」の各プラットフォームで利用できる予定だ。一般提供は2026年1月から開始される。

Teams新機能「外部メールチャット」で指摘されるセキュリティリスクとは？

　この機能は初期設定で有効化されており、組織内の全ユーザーが外部メールアドレスを使ったチャットを開始できるようになる。外部ユーザーは「Microsoft Entra B2B Guest」ポリシーの管理下で参加する仕組みで、チャット内容は組織の境界内に保持される。Microsoftは、組織管理者に内部ドキュメントの更新やヘルプデスク対応の準備を求めている。不要な場合はPowerShellで「TeamsMessagingPolicy」内の「UseB2BInvitesToAddExternalUsers」属性をfalseに設定することで機能を無効化できる。

　しかし、セキュリティ専門メディアはこの新機能にセキュリティについての懸念を指摘した。導入されるこの機能は利便性を高める一方で、フィッシングやマルウェア感染のリスクを拡大させる恐れがあるという。外部メールアドレスの事前検証を伴わないため、攻撃者が正規の招待を装った不正なチャットリクエストを送信し、受信者をだまして悪意あるリンクを開かせたり、資格情報を入力させたりする手口が想定される。

　こうした偽装招待は、これまでOAuthフィッシングで観測されてきた手口と共通点を持つとされ、同様の詐欺的行為への悪用を懸念する声が上がっている。攻撃者が取引先や顧客を名乗ってチャットを開始し、やりとりの中でファイルを送信した場合、従来のメールフィルタリングを経ずにマルウェアが社内ネットワークに入りこむ危険があると懸念されている。

　Teamsでのやりとりは通常のメールとは異なり、組織のコミュニケーション基盤内で直接実行される。そのため、ユーザーが内部通信と誤認しやすく、結果として不審なファイルやリンクを開いてしまう可能性が高まる。こうしたリスクが顕在化すると、知的財産や個人情報、規制対象データが漏えいするリスクがある。

　Microsoftは今回の変更が全ユーザーに影響することを明示しており、企業が機能の有効化状況を確認し、適切なセキュリティ設定を講じるよう呼びかけている。管理者は、外部チャットを制限するポリシー設定に加え、多要素認証の適用、アクセス制御の細分化、利用者教育などの対策を組み合わせることが推奨される。特にTeamsを経由したファイル共有やチャット招待が信頼できる送信元なのかどうかを確認する手順を利用者に周知することが求められる。

　Teamsは企業間連携を円滑にする手段として広く利用されているが、外部連携機能の拡張に伴い、攻撃対象領域の拡大という課題が浮上している。利便性と安全性の両立を図るために、組織側での明確な運用ルール策定と継続的な監視体制の強化が求められている。新機能の導入に当たり、各企業は自社のリスク許容度に応じた制御設定を早期に確認し、Teams環境の安全を確保することが重要となる。