Microsoft to Disable Inline SVG Images Display to Outlook for Web and Windows Users
2025/10/05 CyberSecurityNews — Microsoft が発表したのは、Outlook for Web/Outlook for Windows プラットフォーム全体でインライン SVG 画像のサポートを終了し、Outlook ユーザー向けのセキュリティを強化することである。この変更は、メール・セキュリティ・インフラを強化し、潜在的なサイバー・セキュリティの脅威からユーザーを保護するという積極的な対策と言える。展開のタイムラインは、すべての Microsoft 365 環境に包括的に適用するための、戦略的な構成を考慮するものだ。
標準的な商用テナントに影響を及ぼす世界規模での展開は、2025年9月初旬に開始され、2025年9月中旬に完了している。
Outlook での SVG 画像表示の無効化
GCC/GCC-H/DoD/Gallatin などの、政府機関および特殊な環境向けの実装は、2025年9月中旬に開始され、2025年10月中旬に完了する予定である。
この段階的なアプローチにより、Microsoft は実装の影響を監視していくが、ユーザー組織においては、メール・コミュニケーション戦略の調整に必要な時間が確保されるという。
この変更で特に対象とされるのは、インライン SVG レンダリングであり、メール本文に直接埋め込まれた SVG 画像は表示されなくなり、代わりに空白スペースが表示される。
インライン SVG サポートの廃止は、SVG の XML ベースの構造を悪用する、深刻なクロスサイト・スクリプティング (XSS) の脆弱性に対処するものだ。
SVG ファイルには悪意の JavaScript コードが含まれている可能性があり、メール・クライアント内においてインラインでレンダリングされると、高度なサイバー攻撃の標的になり得てしまう。
Microsoft のデータによると、この変更は Outlook で使用される全画像の 0.1% 未満に影響し、運用上の中断を最小限に抑えながら、セキュリティ上のメリットを最大化するものになる。
この決定により、Outlook の動作は、すでにインライン SVG レンダリング機能を制限している、業界標準のメール・クライアントの慣行に準拠することになる。
重要なことは、SVG ファイルの添付は引き続き完全にサポートされるため、ユーザーは従来の添付方法により SVG ファイルを共有し続けられる点である。
したがって受信者は、添付ファイル・セクションからのダウンロードにより、これらのファイルを表示できるため、インライン・レンダリングのリスクを排除しながら機能性を維持できる。
管理者やエンドユーザーによる即時の対応は必要ないが、ユーザー組織に対して Microsoft が推奨するのは、社内ドキュメントを更新すること、そして、メール通信でインライン SVG を頻繁に使用するユーザーに通知することだ。
この予防的なセキュリティ対策は、Microsoft 365 エコシステム全体の、企業/個人ユーザーにとって不可欠なコミュニケーション機能を維持しながら、堅牢なメール・セキュリティ標準を維持するという Microsoft のコミットメントを示すものである。
Microsoft の対応には納得できますね。この問題の根本は、SVG の XML 構造にあり、スクリプトや外部参照を埋め込めてしまうという弱点に起因します。メール本文でインライン表示される SVG により、サニタイズ漏れやレンダラの信頼に起因する XSS が起きやすくなります。インラインの無効化は攻撃面を減らす実用的な措置であり、添付は維持されるという配慮も行われています。よろしければ、Outlook で検索も、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.