このTeamsの動作は、仕様なのか脆弱性なのか

Microsoft Teamsというコラボレーションプラットフォームがあります。
利用している組織も多いかもしれません。
このツールはいろいろな機能がありますので、使い方を工夫することでより便利に使うことができます。
そんないろいろある機能を特定の使い方をすると意図しない動きを実現させることができる、という話が出ています。

Microsoft Teamsはコラボレーションを実現する仕組みですので、メッセージを送信したり受信したりする機能があります。
そして設定によって、そのメッセージを送れる範囲を限定したり、あるいは緩和したりということの実現できる機能があります。

いろいろな機能が組み合わさることによって、Teamsの標準設定では、通常は組織の内部からのメッセージにしかファイル添付はできないようになっており、外部からもメッセージのやり取りはできるもののファイル添付はできないという動きになります。
しかしこの動きがこの限りではないことがわかってきました。

Microsoft Teams のクライアント側に実装されているセキュリティ制御機構を比較的簡単な手法で回避できてしまうことが分かったのです。
この手を加えた方法でTesmsを使うことにより、外部からのメッセージにおいてもファイルを添付できるようにできてしまうようになります。
この攻撃が成り立つためには、いくつか前提として満たす必要がある事項があるとはいえ、これは脆弱性であると考えることができるように思えます。

しかし、Microsoftは現時点ではこのような利用ができてしまうことは認識しているのですが、すぐに対策を提供する基準を満たしていないという見解となっています。
この事象に関するコメントを求めた際に、Microsoftから、この内容が実現するためにはソーシャルエンジニアリングに依存している部分があり、そもそもとしてWebページへのリンクをクリックしたり、不明なファイルを開いたり、ファイル転送を受け入れたりするときに注意を払うなど、オンラインで適切なコンピューティング習慣を実践することで対応してほしいというコメントがあったようです。

この意図しない動きを悪用した、実際に動作する攻撃が可能なことを示すPoCコードはすでに作成されて、GitHubで公開されています。
そのPoCコードの名前はTeamsPhisherで、これは、組織が外部通信を許可しているMicrosoft
Teamsユーザーへのフィッシングメッセージと添付ファイルの配信を容易にするPython3プログラムです。
PoCコードが公開されましたので、比較的短い期間で実際の脅威が生まれてくるかもしれません。

仕様なのか脆弱性なのか、難しい問題ですが、ツールが助けてくれるのは限定的な安全だと認識し、利用者は常に注意して活動する必要があるということなのかもしれません。

参考記事（外部リンク）：Advisory: IDOR in Microsoft Teams Allows for External
Tenants to Introduce Malware
labs.jumpsec.com/advisory-idor-in-microsoft-teams-allows-for-external-tenants-to-introduce-malware/