Microsoft 365メール暗号化に“解読可能”な脆弱性 利用中止でも消えない危険「Office 365 Message Encryption」の脆弱性と対策【後編】

暗号化されたメールの内容を攻撃者が解読し得るという、Microsoftのメール暗号化ツール「Office 365 Message Encryption」の脆弱性。企業はどのような防御策を講じるべきか。そもそも防御策はあるのか。

2022年11月16日 08時15分 公開
[Alex ScroxtonTechTarget]

 セキュリティベンダーWithSecure(F-Secureの企業向け部門が独立)は、Microsoftの「Office 365 Message Encryption」(OME)に深刻な脆弱(ぜいじゃく)性があると発表し、注意を呼び掛けている。OMEは、Microsoftのオフィススイート「Microsoft 365」(Office 365)で利用可能なメール暗号化ツールだ。この脆弱性を悪用すると、攻撃者は暗号化されたメールの内容を解読できる恐れがあるという。OMEを使用している企業はどうすればいいのか。そしてMicrosoftの動きは。

対策は「OMEをやめる」 それでも残る“あの懸念”

 OMEが使っている暗号化技術は、繰り返し出てくるブロック(メールの一部)を全て同じ暗号文に変換する。そのため攻撃者は、一定の量のメールを入手すれば、暗号化の構造から内容をある程度推測できるという。WithSecureのセキュリティコンサルタントを務めるハリー・シントネン氏によると、企業にとっては残念ながら有効な対策がない。「そもそもメールを流出させないことが大切だ」(シントネン氏)

 シントネン氏によると、OMEの脆弱性は特に取引先との契約や国・地域のルールによって、プライバシーを順守しなければならない企業にとって懸念材料になる。OMEの脆弱性悪用によって情報が漏えいすれば、欧州連合(EU)の「GDPR」(General Data Protection Regulation:一般データ保護規則)」や、「CCPA」(California Consumer Privacy Act:カリフォルニア州消費者保護法)に触れる可能性がある。

 MicrosoftはWithSecureから受けた報告について「脆弱性とは見なさず、セキュリティ対策を実施する必要はない」と述べたと、WithSecureは明かす。そのためベンダーがIT製品の脆弱性を公開・修正したことを示す「共通脆弱性識別子」(CVE:Common Vulnerabilities and Exposures)は発行されなかったという。

 Microsoftの方針を受けWithSecureは「企業にできる唯一の対策といえば、OMEの使用を直ちに停止することだ」と言う。ただしOMEの使用を停止しても、過去にOMEで暗号化されたメールを攻撃者が入手するリスクは残るとシントネン氏は指摘する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

髫エ�ス�ス�ー鬨セ�ケ�つ€驛「譎擾スク蜴・�。驛「�ァ�ス�、驛「譎冗樟�ス�ス驛「譎「�ス�シ驛「譏懶スサ�」�ス�ス

製品資料 ゾーホージャパン株式会社

システムに侵入され深刻な被害も、サービスアカウントの不正利用をどう防ぐ?

サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。

製品資料 ゾーホージャパン株式会社

“人間ではない”サービスアカウントに潜む、3つのセキュリティリスクとは?

サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。

製品資料 Splunk Services Japan合同会社

デジタル決済の普及で金融犯罪や不正行為が急増、被害を防ぐために必要なものは

eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。

製品資料 Splunk Services Japan合同会社

金融犯罪を未然に防止、システムが複雑化する中で取るべき対策とその実装方法

金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。

製品資料 グーグル合同会社

ゼロトラストセキュリティのハードルを下げる、“ブラウザ”ベースという視点

クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/04/16 UPDATE

  1. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「隰セ�サ隰ヲ�ス�ス遯カ諛キ蠎カ騾カ蟯ゥツ€譏エ窶イ30�ス�ス�ク蟶卍€ツ€驕橸スシ邵コ蛛オ竊醍クコ荳岩�邵コ�」邵コ貅ス螳倬р�ェ髢��ス�ス髫ア�、驍ゑソス
  2. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「邵コ�ョ陷企�醍�闔会ス・闕ウ鄙ォ窶イ遯カ諛岩旺邵コ�ョ關難スオ陷茨ス・驍ィ迹夲スキ�ッ遯カ譏エ�定ャ費スェ騾包スィ遯カ陬慊€謌奇スヲ遏ゥ邃�クコ譁撰シ�ケァ蠕娯螺郢晢スェ郢ァ�ケ郢ァ�ッ邵コ�ィ邵コ�ッ�ス�ス
  3. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「鬮ョ�ス螻ョBlack Basta邵コ�ョ闔ィ螟奇スゥ�ア邵コ譴ァ�オ竏晢ソス邵イツ€隴丞シア�臥クコ荵昶�邵コ�ェ邵コ�」邵コ貊灘愛隰ヲ�スツ€�ス�ス遯カ諛域た鬮サ�ウ遯カ�ス
  4. 霎滂ス。隴∝生縲堤クイ蠕後◎郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�クコ�ョ郢晏干ホ溽クイ髦ェ�帝€カ�ョ隰厄ソス笳狗ケァ驫€ツ€諛翫′郢晢スウ郢晢スゥ郢ァ�、郢晢スウ陝�スヲ驗吝�縺慕ケ晢スシ郢ァ�ケ遯カ�ス5鬩包スク
  5. 雎悟カコ�サ蛟・�樒クコ貅假ス芽屁�ス邵コ�ョWeb郢ァ�オ郢ァ�、郢晏現縲定屐蛟カ�コ�コ隲��ス�ス�ア郢ァ雋橸ソス陷牙ク呻シ�邵コ�ヲ邵コ貅ェツ€陬慊€霈斐Ψ郢ァ�。郢晢スシ郢晄コ佩ヲ郢ァ�ー邵コ�ョ隰�唱蜩ィ邵コ�ィ邵コ�ッ
  6. 邵イ謔滂ソス陜趣スィ陋ケ謔カ��邵コ陂悠邵イ髦ェ窶イ200�ス�ス�「蜉アツ€ツ€騾墓サ難ソスAI邵コ�ァ雎鯉スセ雎シ�ォ邵コ蜷カ�狗ェカ諞コ陬ク郢晢ソス�ス郢晢スォ遯カ譏エ�ス陞ウ貊難ソス
  7. 陝�クサ�ス雋ょ現竏ゥ邵コ�ョ邵イ驛。ASE邵イ蟠趣スヲ迢怜ウゥ邵コ蜉ア�ゑソス貅伉€ツ€郢晞亂繝」郢晏現ホ。郢晢スシ郢ァ�ッ郢ァ�サ郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�クコ�ョ遯カ�ス3陞滂スァ陷榊供鬮�ェカ�ス
  8. 邵イ逾 ̄N邵イ髦ェ窶イ陷奇スア鬮ッ�コ邵コ�ェ騾�ソス鄂ー邵コ�ィ邵イ蜈УNA邵イ蜥イ�ァ�サ髯ヲ蠕鯉ソス陋サ�ゥ霓、�ケ邵コ�ッ�ス貅伉€ツ€IAM邵コ�ョ闕ウ�サ髫補�繝ィ郢晢スャ郢晢スウ郢晏ウィ竏ェ邵コ�ィ郢ァ�ス
  9. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「隰セ�サ隰ヲ�ス�定愾蜉ア��邵コ�ヲ郢ァ繧�€迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ費ス冗クコ�ェ邵コ荳岩�邵コ�」邵コ貅伉€髦ェ�ス邵コ�ッ邵コ�ェ邵コ諛環ー
  10. 陝キ�エ陷ソ�ス2000闕ウ�ス�ス驍丞、イ�シ貅伉€ツ€邵イ譬優邵コ�ィ郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ驍ゑス。騾�ソスツ€髦ェ縲定ア「�サ髴�亂笘�ケァ荵昶螺郢ァ竏夲ソス髫ア讎奇スョ螟奇スウ�ス�ス�シ邵コ�ッ

Microsoft 365メール暗号化に“解読可能”な脆弱性 利用中止でも消えない危険:「Office 365 Message Encryption」の脆弱性と対策【後編】 - TechTargetジャパン セキュリティ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。