BetaNewsは4月29日(米国時間)、「Microsoft takes just 7 hours to patch colossal Office 365 vulnerability that exposed companies' data」において、Office 365で発覚した不正アクセスを許可する脆弱性に対し、Microsoftが7時間で修正パッチを適用したと伝えた。この脆弱性を悪用されると、同サービスを利用している企業のデータが不正に窃取される危険性があったとされている。
この脆弱性はSAML認証システムに不備があったというもので、適切な権限を持っていなくてもOffice 365アカウントにアクセスすることが可能になっていたと説明がある。この脆弱性を悪用されると、OutlookやOneDrive、Skype for Businessといった同接続サービスを利用しているほかのアプリケーションも影響を受けるとされている。また、このセキュリティ脆弱性を悪用することで、攻撃者はOffce 365を利用しているVerizon、ジョージア州立大学、British Airwaysなどの企業や組織のデータを窃取することが可能だったとのことだ。
今回発見された脆弱性はKlemen Bratec氏およびIoannis Kakavas氏によって発見されたもの。Microsoftは脆弱性を発見することを目的として報奨制度を運用しているが、今回の発見はこうした報奨制度の一環として見つかったものだと説明されており、すでに報奨金は支払われているという。