Microsoft 365 フィッシング対策のバイパス:HTML メールの CSS 操作でアラートを隠す

Microsoft 365 anti-phishing feature can be bypassed with CSS

2024/08/07 BleepingComputer — 研究者は、Microsoft 365 (旧 Office 365) のフィッシング対策を回避する方法が実証され、悪意のメールをユーザーが開封するリスクが高いことが判明した。具体的に言うと、”First Contact Safety Tip” という、見慣れないアドレスからのメッセージを受信した際に、Outlook のメール受信者に警告を出すフィッシング対策が隠されてしまうのだ。この欠陥を発見した Certitude のアナリストが、Microsoft に調査結果を報告したが、現時点では対処しないことが、同社により決定されている。

警告を隠す

First Contact Safety Tip” とは、新しい連絡先から Outlook ユーザーがメールを受信する際に、警告を発するように設計された機能である。以下のようなメッセージが表示される: “xyz@example.com からメールを受け取ることはあまりない。なぜ、これが重要なのか考えてほしい”

この仕組みの重要な点は、警告が HTML メールの本文に追加されるため、メールメッセージに埋め込まれた CSS を介して、操作が可能であることだ。

The warning tip rendered on the Outlook app
The warning tip rendered on the Outlook app
Source: Certitude

Certitude の発見は、以下のようにメールのHTML内の CSS (Cascading Style Sheets) を操作することで、このセキュリティ・メッセージを隠すことが可能だというものだ:

HTML code used for the bypass
HTML code used for the bypass
Source: Certitude

各ルールの役割は以下の通り:

  • a { display: none; }: アンカー (<a>) タグを全て非表示にし、リンクが含まれているときにヒントが表示されないようにする。
  • td div { color: white; font-size: 0px; }: テーブル・データ・セル内の div 要素を対象とし、そのフォント・カラーを白、フォント・サイズを 0 に変更し、テキストを非表示にする。
  • table tbody tr td { background-color:white !important; color: white !important; }: テーブルの tbody 内の td 要素を白背景と白テキストにし、コンテンツを効果的に背景に溶け込ませ、見えなくする。

新しいコンタクトからターゲットに送られるフィッシング・メールで、この CSS が使われてしまうと、受信者に警告するアラートは表示されない。

さらに一歩進んで Certitude は、Microsoft Outlook において暗号化/署名された電子メールに追加されるアイコンを偽装するための、HTML コードを追加することで、より安全に見せることも可能であることも発見している。

書式に制限があるため、視覚的に完璧な結果を得ることはできないが、通常の検査を簡単に通過してしまう、説得力のあるセキュリティの虚像が、このトリックにより作り出される。

Final result, without the warning and with safety icons added
Final result, without the warning and with safety icons added
Source: Certitude


なお、研究者たちは BleepingComputer に対して、この記事で説明された方法が、積極的に悪用されるというケースは観察されておらず、また HTML を操作して電子メールに任意のテキストを表示させる方法も、見つかっていないと述べている。

Certitude は、Microsoft Researcher Portal (MSRC) を通じて、上記の手法の概念実証と詳細なレポートを Microsoft に送っている。

しかし、Microsoft からは、以下のような返答があったという:

「私たちは、あなたの発見は有効であると判断したが、この手法は、主としてフィッシング攻撃に適用されるものだと捉えられる。したがって、私たちの基準を満たしていない。その一方で Microsoft 製品を改善する機会として、あなたの発見を今後の検討課題とする」- Microsoft

BleepingComputer は、このリスクに対処しないという、Microsoft の決定について詳しく知るため、同社に問い合わせたが、この記事の投稿時までに回答は得られていない。

HTML メールの内の CSS (Cascading Style Sheets) を操作して、たとえば白地に白フォントなどのテクニックと使って、重要なセキュリティ・メッセージを隠すというトリックが成立するとのことです。それに対する Microsoft の塩対応ですが、2024/08/07 の「Microsoft の Security First:すべてにおいてセキュリティが優先する方針を明示」とは、違う話なのでしょうか?