Microsoft Teams Vulnerability Allows Hackers to Perform Spoofing Attacks
2026/05/12 CyberSecurityNews — Microsoft Teams の新たなセキュリティ脆弱性を悪用する脅威アクターが、ローカル・デバイスを偽装するというリスクが判明した。それにより、このプラットフォームを、日常的なコミュニケーションで利用している企業/個人ユーザーの間で懸念が高まっている。
2026年5月12日に Microsoft は、2026年5月の Patch Tuesday 脆弱性公開プロセスの一環として CVE-2026-32185 を公開した。この脆弱性は、Microsoft Teams におけるファイル/ディレクトリ・アクセス処理の弱点に起因しており、アプリケーション内の信頼済み要素の操作/偽装を、攻撃者に許す可能性がある。
その根本的な原因として挙げられるのは、Microsoft Teams 内のファイル/ディレクトリが外部からアクセス可能な状態となっている点である。このミスコンフィグにより、スプーフィング攻撃を実行する未認証のローカル攻撃者がユーザーを欺き、正規の通信やコンテンツを装う悪意のデータを信じ込ませることが可能となる。
この攻撃のベクターはローカル環境に限定され、ユーザー操作が必要となるが、機密性への潜在的影響は High と評価されており、特に機密情報を扱うエンタープライズ環境では深刻なリスクとなる。この脆弱性の CVSS3.1 ベース・スコアは 5.5 であり、調整済み環境スコアは 4.8 である。Microsoft は Important に分類している。
特筆すべき点として、この脆弱性の悪用に特権は不要であり、共有環境や侵害済みローカル環境において、攻撃成立のハードルが低い。ただし、公開時点では、この脆弱性の公的開示や実環境での悪用インシデントは確認されていない。
Microsoft の悪用可能性評価では “Exploitation Less Likely” とされており、PoC エクスプロイト・コードの存在は確認されていないが、修正レベルは Official Fix とされており、すでにパッチが利用可能となっている。
この脆弱性は、Android 版 Microsoft Teams に影響し、修正済みビルド番号は 1.0.0.2026092103 以降であるため、ユーザーは Google Play Store 経由で提供される、更新プログラムを適用する必要がある。
パッチおよび緩和策
Microsoft は Google Play Store を通じて、Android 版 Microsoft Teams 向けのセキュリティ更新プログラムを提供している。ユーザーおよび管理者に対して強く推奨されるのは、リスク軽減のために直ちに最新ビルドへ更新することである。
Enclave のセキュリティ研究者 Ofek Levin は、調整された開示プロセスを通じて、この脆弱性を Microsoft に報告した。規制対象または高セキュリティ環境で Microsoft Teams を運用している組織は、特にビジネス・コミュニケーション用途で Teams が導入されているモバイル端末において、このパッチ適用を優先する必要がある。
訳者後書:今回の脆弱性である CVE-2026-32185 は、 Android 版 Microsoft Teams におけるファイルやディレクトリの管理不備が原因で発生しました。本来はアプリ内部で厳重に保護されるべき領域が外部からアクセス可能な状態になっていたため、ローカル環境の攻撃者が正規の通信を装うなどの操作ができるようになっていました。このようなミスコンフィグは、思わぬ形で攻撃の隙を与えてしまうことがあります。今回は特権がなくても悪用される恐れがあるため、修正パッチを適用することがとても大切です。ご利用のチームは、ご注意ください。よろしければ、Teams で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.