TeamsのBtoBゲストアクセス機能に脆弱性 Defenderの保護を回避：セキュリティニュースアラート

TeamsのBtoBゲストアクセス機能に潜む脆弱性をOntinueが指摘した。ゲスト参加時には自組織の防御が適用されず、攻撃者が設定の甘いテナントを悪用して防御を回避する恐れがあるとして、設定見直しを促している。

[後藤大地，ITmedia]

　Ontinueは「Microsoft Teams」（以下、Teams）におけるBtoBゲストアクセスの運用に関する脆弱（ぜいじゃく）性を公表した。利用形態によっては、防御が及ばない通信経路が生じ得ると指摘している。

Teamsの「ゲスト参加」でDefender保護が無効化される恐れ

　Teamsのチャットやファイル共有の保護措置は、利用者が所属する組織側ではなく、会話がホストされるテナント側の設定に基づいて適用される。自組織の利用者が他の組織のテナントにゲストとして招待され参加した場合、その時点で適用されるのは招待元テナントの方針のみとなり、自組織が導入している「Microsoft Defender for Office 365」の各種機能は機能しない状態となる。

　Ontinueは、フィッシング対策のURL検査や不審な添付ファイルの検査、自動削除機能などがゲスト参加先のテナントに該当機能として備わっていなければ動作しない点を指摘した。攻撃者が防御機能を備えない、もしくは初期状態のままの「Microsoft 365」テナントを用意し、そこへ標的を招待した場合、Teamsで送信されるリンクやファイルが検査を受けない状況が成立する。

　この状況を助長している要素として、2025年11月に有効化された新機能が挙げられている。この機能は電子メールアドレスさえ分かればTeamsの利用有無に関係なくチャットを開始でき、招待は標準状態で許可されている。低価格のライセンスでも使用可能な点から、攻撃者が環境を用意する障壁は高くないとされている。

　Ontinueは想定される攻撃の流れも示している。攻撃者は簡易なテナントを準備し、業務提携や取引連絡などを装って標的へゲスト招待を送付する。招待はMicrosoftの正規基盤から通知されるため、受信者側で不審点を認識しにくい。参加後の会話は相手側テナントの管理下に置かれ、リンク誘導や不正ファイル送信が検査なく成立し得る。これらの操作は自組織の管理画面に通知されない。

　対策として、「B2Bコラボレーション」の設定の見直しを提案している。特定の信頼済みドメイン以外からのゲスト招待を制限すること、テナント間アクセス制御の設定を精査すること、Teamsの外部通信範囲を管理者側で限定することなどが挙げられている。利用者への注意喚起も不可欠とされている。

　OntinueはTeamsを業務基盤として利用する組織に対し、保護機能が利用者に常時適用されるわけではないことを認識するよう助言している。ゲスト参加時には自組織の防御領域から外れる事実を踏まえ、管理設定と運用方針を改めて点検する必要があるとしている。