CyberArkは4月27日(米国時間)、「Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams|CyberArk」において、Microsoft Teamsにアカウントの乗っ取りとデータ窃取が可能な脆弱性が存在すると伝えた。サブドメインテイクオーバーの脆弱性を用いて悪意あるGIFファイルを使うことでユーザーデータを窃取することが可能だという。

この脆弱性は悪意あるGIFファイルを共有する必要すらなく、表示するだけで用いることができ、感染を自動的に広げることもできると考えられることから注意が必要。

  • Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams|CyberArk

    Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams | CyberArk

この脆弱性はMicrosoft Teamsのデスクトップ版およびWebブラウザ版の双方に存在するとされている。CyberArkは既にこの脆弱性に関する情報をMicrosoftに提供しており、該当する脆弱性に関するアップデートの提供が行われている。

新型コロナウイルスの影響から、業務形態をテレワークにシフトさせる企業が増加している。こうした状況と呼応するように、ZoomやMicrosoft Teamsといったビデオ会議プラットフォームのユーザーが急増している。セキュリティベンダーはこうしたツールの脆弱性を相次いで発見しており、ベンダーの情報公開に合わせて迅速に対処していくことが望まれる。