悪意あるOutlookアドイン「AgreeTo」が暴いたサプライチェーンの脆弱性
2026年2月11日、サイバーセキュリティ研究者たちは、これまで確認された中で初の悪意あるMicrosoft Outlookアドインが実環境で検出されたと発表し、サイバーセキュリティ業界に衝撃が走りました。この「AgreeTo」と名付けられたアドインは、一見するとカレンダー連携ツールとして機能する正当なものでしたが、その裏では4,000件以上のMicrosoftアカウント認証情報、さらにはクレジットカード番号や銀行のセキュリティ回答といった機密性の高い決済データまでをも窃取していたことが明らかになりました。この事件は、サプライチェーン攻撃の新たなベクトルが拡大していることを明確に示しており、信頼された配布チャネルの脆弱性が改めて浮き彫りになっています。
この攻撃は、Koi Securityによって「AgreeToSteal」とコードネームが付けられ、詳細な分析が公開されました。同社の共同創設者兼CTOであるアイダン・ダーディクマン氏は、この種の攻撃がブラウザ拡張機能やnpmパッケージ、IDEプラグインなど、これまでにも見られてきたサプライチェーン攻撃の延長線上にあると指摘しています。しかし、Outlookアドインの場合、ユーザーが最も機密性の高い通信を扱うOutlook内で動作し、メールの読み取りや変更の権限を要求できる点、そしてMicrosoft自身のストアを通じて配布されるため、暗黙の信頼が伴う点が特に懸念されると述べています。
今回の事件は、単なるマルウェア感染にとどまらず、デジタルエコシステム全体の信頼モデルに深く根差した構造的な問題を示唆しています。正当な開発者がプロジェクトを放棄した後、プラットフォームがその変更を認識するまでの「ギャップ」を悪用するという手口は、多くのオンラインマーケットプレイスが抱える共通の脆弱性を浮き彫りにしました。この攻撃は、承認されたコンテンツが後から変更され得るという、信頼された配布チャネルの根本的な課題を改めて浮き彫りにしたのです。
Malwarebytesの研究者もこの事件について深く掘り下げており、窃取されたデータが単なる認証情報に留まらず、クレジットカード番号、CVV、PIN、さらにはInterac e-Transfer決済を傍受するために使用される銀行のセキュリティ回答にまで及んでいたことを明らかにしています。これは、攻撃者が単一の標的から最大限の利益を引き出そうとする、高度に組織化された犯罪活動の一端を示しています。
「AgreeTo」を巡る巧妙なドメイン乗っ取り手口
この攻撃の核心は、Officeアドインの仕組みと、マーケットプレイスに公開されたアドインのコンテンツに対する定期的な監視の欠如を悪用した点にあります。Microsoftのドキュメントによれば、アドイン開発者はアカウントを作成し、Partner Centerにソリューションを提出した後、承認プロセスを経る必要があります。しかし、Officeアドインはマニフェストファイルを使用し、その中に宣言されたURLのコンテンツが、アプリケーション内のiframe要素内でアドインが開かれるたびに、開発者のサーバーからリアルタイムでフェッチされ、提供されるという特性を持っています。
問題は、悪意のあるアクターが期限切れのドメインを乗っ取ることを阻止する仕組みがなかったことです。今回の「AgreeTo」のケースでは、マニフェストファイルはVercelでホストされているURL(`outlook-one.vercel[.]app`)を指していました。このURLは、開発者のVercelデプロイが2023年頃に放棄されたため削除され、その後、誰でも取得可能な状態になっていました。攻撃者はこの状況を悪用し、このURL上にフィッシングキットを設置したのです。
元の開発者は何ら不正行為を行っていませんでした。彼らは正当な製品を構築し、その後プロジェクトから離れただけです。しかし、この「放棄されたプロジェクト」と「プラットフォームによる監視の停止」の間の隙間が、攻撃者にとって絶好の機会となりました。Microsoftはアドインの初回提出時にマニフェストをレビューしますが、一度承認されると、開発者のサーバーからライブで取得される実際のコンテンツについては制御が及ばないという盲点が存在していました。
この構造的な問題は、ダーディクマン氏が指摘するように、「承認は一度、信頼は永遠」という、リモートの動的依存関係をホストするすべてのマーケットプレイスに共通するものです。プラットフォームによって具体的な実装は異なりますが、マニフェストを提出時にレビューするだけで、参照されるURLがその後実際に何を提供するかを監視しないという根本的なギャップが、「AgreeTo」の事件を可能にしたのです。
攻撃の実行と被害の拡大
攻撃者は、乗っ取った`outlook-one.vercel[.]app`のURL上に巧妙なフィッシングキットを展開しました。このキットは、ユーザーがOutlook内でアドインを開くと、本物のMicrosoftサインインページと見分けがつかない偽のログインページを表示するように設計されていました。ユーザーは、Outlookのサイドバー内に表示されるこの偽のページに何の疑いもなく認証情報を入力してしまい、その瞬間にパスワードが攻撃者の手に渡る仕組みとなっていました。
窃取された認証情報は、JavaScript関数を通じて攻撃者のTelegramボットにIPデータと共に送信され、その後、被害者は本物の`login.microsoftonline.com`にリダイレクトされるという巧妙な手口が用いられました。これにより、ユーザーはログインが成功したかのように錯覚し、自身の認証情報が盗まれたことに気づきにくい状況が作り出されました。Malwarebytesの研究者たちは、攻撃者のセキュリティが不十分なTelegramベースのデータ流出チャネルにアクセスすることに成功し、4,000件以上のMicrosoftアカウント認証情報に加え、クレジットカード番号、CVV、PIN、そして銀行のセキュリティ回答といった機密性の高い決済データを回収しました。
このアドインは、ユーザーのメールを読み取り、変更することを許可する「ReadWriteItem」権限で構成されていました。この権限は、会議スケジューラーとしての正当な機能には適切でしたが、攻撃者にとってはさらなる悪用の可能性を秘めていました。Koi Securityは、もし攻撃者がこの盲点を悪用していれば、JavaScriptを展開して被害者のメールボックスの内容を密かに吸い上げることも可能であったと警告しています。これは、今回の被害がさらに甚大なものになる可能性があったことを示唆しています。
このキャンペーンは活発に進行しており、より大規模なマルチブランドフィッシング作戦の一部であることが判明しています。攻撃者は、単一のブランドに固執するのではなく、複数のブランドを模倣することで、より広範な被害者層を狙っていたことが明らかになりました。この事実は、今回のOutlookアドインの侵害が、氷山の一角に過ぎない可能性を示唆しています。
背後に潜むプロフェッショナルな脅威アクター
Malwarebytesの研究者による詳細な調査は、このOutlookアドインを悪用した攻撃の背後に、高度に組織化されたプロフェッショナルな脅威アクターが存在することを示唆しています。研究者たちは、攻撃者のセキュリティが不十分なTelegramベースのデータ流出チャネルにアクセスすることに成功し、そこから驚くべき事実を突き止めました。この攻撃者は、少なくとも12種類の異なるフィッシングキットを運用しており、それぞれがカナダのISP、銀行、ウェブメールプロバイダーなど、多岐にわたるブランドを模倣していたのです。
これは、単発的な攻撃ではなく、明確な目的を持った大規模なマルチブランドフィッシング作戦の一環として、Outlookアドインがその配布チャネルの一つとして利用されたことを意味します。窃取されたデータが、単なるメール認証情報に留まらず、クレジットカード番号、CVV、PIN、さらにはInterac e-Transfer決済を傍受するための銀行のセキュリティ回答にまで及んでいたことは、攻撃者が金融詐欺を最終的な目的としていた可能性が高いことを示しています。彼らは、被害者から可能な限り多くの価値ある情報を引き出すために、多様な手口とチャネルを駆使していたのです。
この脅威アクターの活動は、サイバー犯罪がますます専門化し、ビジネス化している現状を浮き彫りにしています。彼らは、放棄されたドメインの脆弱性を特定し、それを悪用して信頼されたプラットフォームに悪意のあるコンテンツを挿入する技術的な能力だけでなく、複数のブランドを模倣したフィッシングキットを同時に運用し、窃取したデータを効率的に収集・悪用する組織的な能力も持ち合わせていました。このようなプロフェッショナルな攻撃者は、単一の脆弱性だけでなく、デジタルサプライチェーン全体の弱点を体系的に狙う傾向があります。
今回の事件は、サイバーセキュリティ対策が、個々のシステムやアプリケーションの防御だけでなく、サプライチェーン全体、そしてユーザーが利用するデジタルエコシステムの信頼性全体を考慮する必要があることを改めて強調しています。攻撃者は常に最も弱いリンクを探しており、今回のケースでは、正当なアドインのライフサイクルにおける監視の欠如という、見過ごされがちな盲点が悪用されました。
プラットフォームの盲点とサプライチェーンの脆弱性
今回の「AgreeTo」アドインの事件は、Microsoft Officeアドインストアのような信頼されたプラットフォームが抱える構造的な問題を浮き彫りにしました。Idan Dardikman氏が指摘するように、この問題は「承認は一度、信頼は永遠」という原則に集約されます。Microsoftはアドインのマニフェストを初回提出時にレビューし、署名しますが、そのマニフェストが指すURLからリアルタイムで提供されるコンテンツについては、継続的な監視が行われていませんでした。この盲点が、悪意のあるアクターが放棄されたドメインを乗っ取り、フィッシングキットを配信することを可能にしたのです。
この問題はMicrosoft MarketplaceやOffice Storeに限定されるものではありません。ダーディクマン氏は、「リモートの動的依存関係をホストするすべてのマーケットプレイスに共通する構造的な問題だ」と述べています。実際、昨年1月には、Open VSXがMicrosoft Visual Studio Code(VS Code)拡張機能がオープンソースリポジトリに公開される前にセキュリティチェックを強制する計画を発表しました。また、MicrosoftのVS Code Marketplaceも、レジストリ内のすべてのパッケージに対して定期的な一括再スキャンを実施しています。これらの動きは、動的なコンテンツを扱うプラットフォームにおける継続的な監視の重要性を認識し、対策を講じ始めていることを示しています。
しかし、Outlookアドインのケースでは、この監視体制のギャップが致命的な結果を招きました。Googleが2025年2月には「AgreeTo」のChrome拡張機能を削除していたにもかかわらず、OutlookアドインはMicrosoft Office Storeに掲載され続け、元の開発者とは無関係になったVercelのURLを指し示していました。この時間差は、プラットフォーム間のセキュリティポリシーと監視体制の不整合、あるいは特定の製品ラインにおける監視の優先順位の違いを示唆している可能性があります。
この種のサプライチェーン攻撃は、正当なソフトウェアやサービスを悪用するため、ユーザーが警戒しにくいという特徴があります。ユーザーは、公式ストアからダウンロードしたアドインや拡張機能に対して、当然ながら高い信頼を寄せます。しかし、その信頼が、プラットフォームの継続的な監視の欠如によって裏切られる可能性があるという事実は、デジタルエコシステム全体のセキュリティモデルの再考を迫るものです。
緊急対応とユーザーへの勧告
この深刻な脅威に対し、Microsoftは迅速な対応を迫られました。The Hacker Newsの報道によると、2026年2月12日には「AgreeTo」アドインはMicrosoft Marketplaceから利用できなくなりました。Microsoftの広報担当者はThe Hacker Newsに対し、アドインをストアから削除し、潜在的に影響を受けた顧客を保護するための追加措置を講じたことをメールで回答しています。また、マーケットプレイスで悪意のある活動を検出した際には直ちに対処し、そのような行動をプロアクティブに検出する能力を今後も強化していくと述べています。
Koi Securityは、Microsoftが同様のセキュリティ問題を未然に防ぐために、いくつかの具体的な対策を講じることを推奨しています。これには、アドインのURLがレビュー時と異なるコンテンツを返し始めた場合に再レビューをトリガーすること、ドメインの所有権を確認し、ドメインインフラが変更されたアドインにフラグを立てること、一定期間更新されていないアドインをリストから削除またはフラグを立てるメカニズムを実装すること、そして影響を評価する手段としてインストール数を表示することなどが含まれます。これらの提言は、プラットフォーム側の継続的な監視と管理の強化が不可欠であることを示しています。
一方、Malwarebytesは、2023年5月以降に「AgreeTo」アドインを使用した可能性のあるユーザーに対し、具体的な行動を強く推奨しています。まず、アドインがまだインストールされている場合は直ちにアンインストールすること。次に、Microsoftアカウントのパスワードを変更し、そのパスワード(または類似のバリアント)を他のサービス(メール、銀行、SaaS、ソーシャルメディアなど)で再利用している場合は、それらもすべて変更し、それぞれ固有のパスワードを設定することです。
さらに、ユーザーはMicrosoftアカウントの最近のサインイン履歴とセキュリティ活動を確認し、不明な場所やデバイスからのログイン、または不審な時間帯の活動がないか注意深く監視する必要があります。メールボックスをスキャンして、自身が送信していないメッセージ、作成していない自動転送ルール、または要求していない他のサービスのパスワードリセットメールなど、不正利用の兆候がないか確認することも重要です。そして、今後数ヶ月間は、特に少額の「テスト」請求や予期しないe-transferまたはカードなし取引など、支払い明細書を注意深く監視し、疑わしいものは直ちに異議を申し立てるべきだと強調しています。
今後の課題とデジタルエコシステムの信頼性
今回のOutlookアドインを悪用したサプライチェーン攻撃は、現代のデジタルエコシステムが直面する複雑なセキュリティ課題を浮き彫りにしました。信頼されたプラットフォームを通じて配布されるアプリケーションが、そのライフサイクルの中で悪意のあるツールへと変貌する可能性は、企業や個人にとって新たな脅威のベクトルを提示しています。特に、Officeアドインのように機密性の高い通信を扱うアプリケーションが標的となる場合、その影響は計り知れません。この事件は、単なる技術的な脆弱性の問題に留まらず、デジタルサービスの提供者と利用者間の信頼関係の基盤を揺るがすものです。
「承認は一度、信頼は永遠」というダーディクマン氏の言葉は、多くのオンラインマーケットプレイスが抱える根本的な課題を的確に表現しています。初期の審査プロセスだけでは、動的にコンテンツが変更され得る現代のアプリケーションのセキュリティを完全に保証することはできません。プラットフォーム側は、アドインのライフサイクル全体にわたる継続的な監視、ドメイン所有権の定期的な検証、そして放棄されたプロジェクトに対する迅速な対応メカニズムを確立することが急務です。これにより、悪意のあるアクターが「ギャップ」を悪用する機会を最小限に抑える必要があります。
また、ユーザー側のセキュリティ意識の向上も不可欠です。公式ストアから提供されるアプリケーションであっても、その挙動や要求される権限に常に注意を払い、不審な点があれば報告する習慣を身につけることが求められます。特に、認証情報の入力が求められる場面では、そのページが本当に正規のものであるかを慎重に確認する習慣が、このようなフィッシング攻撃の被害を防ぐ上で極めて重要となります。
最終的に、この事件は、サイバーセキュリティが単一の技術的解決策で完結するものではなく、技術、プロセス、そして人々の意識が一体となった多層的なアプローチが必要であることを改めて示しています。デジタルエコシステムの信頼性を維持し、進化する脅威からユーザーを保護するためには、プラットフォーム提供者、開発者、そしてユーザーが協力し、継続的にセキュリティ対策を強化していくことが不可欠です。今回の教訓を活かし、より堅牢なデジタル環境を構築するための努力が、今後も続けられることでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -First Malicious Outlook Add-In Found Stealing 4,000+ Microsoft Credentials - https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html
- -Outlook add-in goes rogue and steals 4,000 credentials and payment data | Malwarebytes - https://www.malwarebytes.com/blog/news/2026/02/outlook-add-in-goes-rogue-and-steals-4000-credentials-and-payment-data