セキュリティ会社 WithSecure のラボには悪いニュースがあります。Microsoft Office 365 で電子メールに使用される暗号化は、セキュリティ ホールがあるため安全ではありません。 WithSecure によると、Microsoft はこの脆弱性を修正する予定はありませんが、米国国立標準技術研究所 NIST は脆弱性データベースでこの脆弱性を深刻なものとしてリストしています。
Microsoft Office 365 Message Encryption (OME) は、Electronic Codebook (ECB) 操作モードを使用します。 このモードは一般に安全ではなく、送信されるメッセージの構造に関する情報を明らかにする可能性があり、その結果、メッセージが部分的または完全に開示される可能性があります。 のように 「特別刊行物 800-38A 改訂案の発表」 NIST は次のように述べています。 例を参照してください CVE-2020-11500 に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
安全でない暗号化方法
Microsoft Office 365 は、暗号化されたメッセージを送信する方法を提供します。 この機能は、組織が組織内外の人々の間で暗号化された電子メール メッセージを安全に送受信できるようにするために宣伝されています。 残念ながら、OME メッセージは安全でない電子コードブック (ECB) 操作モードで暗号化されます。
暗号化された電子メール メッセージにアクセスした悪意のある第三者は、ECB がメッセージの特定の構造情報を明らかにするため、メッセージの内容を特定できる可能性があります。 これにより、機密性が失われる可能性があります。
暗号化: メールの添付ファイルを分析できます
🔎 見事にだまされた: Office 365 Message Encryption で保護された電子メールから抽出された画像 (画像: WithSecure)。
暗号化されたメッセージは通常の電子メールの添付ファイルとして送信されるため、送信されたメッセージは別の電子メール システムに保存され、送信者と受信者の間で傍受された可能性があります。 大規模なメッセージ データベースを持つ攻撃者は、傍受されたメッセージの繰り返されるセクションの相対的な位置を分析することで、その内容 (またはその一部) を推測できます。
ほとんどの OME 暗号化メッセージが影響を受け、攻撃は以前に送信、受信、または傍受された暗号化メッセージに対してオフラインで実行される可能性があります。 組織が、既に送信されたメッセージの分析を防止する方法はありません。 権利管理機能を使用しても問題は解決しません。
暗号化されたメッセージで送信されるコンテンツによっては、組織によっては、脆弱性の法的影響を考慮する必要がある場合があります。 EU 一般データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、または同様の法律で説明されているように、脆弱性がプライバシーへの影響をもたらした可能性があります。
エラー: 暗号化ブロックが繰り返されています
電子コードブック (ECB) 動作モードは、各暗号化ブロックが個別に暗号化されることを意味します。 平文メッセージの繰り返しブロックは、常に同じ暗号文ブロックにマップされます。 実際には、これは実際のプレーン テキストが直接公開されないことを意味しますが、メッセージの構造に関する情報は公開されます。
特定のメッセージがこのように直接情報を明らかにしない場合でも、多数のメッセージを使用すると、攻撃者はファイル内で繰り返されるパターンの関係を分析して、特定のファイルを特定できます。 これにより、暗号化されたメッセージから平文 (の一部) を取得できるようになります。 この脆弱性を悪用するために暗号化キーの知識は必要ないため、Bring Your Own Key (BYOK) または同様の暗号化キーによる保護では、是正措置はありません。
マイクロソフトからの救済策は見当たらない
脆弱性の状況について繰り返し問い合わせた後、Microsoft は最終的に次のように回答しました。 コードは変更されていないため、このレポートに対して CVE は発行されませんでした。」
エンド ユーザーまたは電子メール システム管理者には、より安全な操作モードを適用する方法がありません。 Microsoft はこの脆弱性を修正する予定がないためです。 この問題の唯一の解決策は、Microsoft Office 365 Message Encryption の使用を停止し、別の解決策を使用することです。
WithSecure (以前は F-Secure Business) の Web サイトには、この問題に関するより詳細な技術的な説明があります。
詳細は WithSecure.com
ウィズセキュアについて WithSecure (旧称 F-Secure Business) は、サイバー セキュリティにおける信頼できるパートナーです。 IT サービス プロバイダー、マネージド セキュリティ サービス プロバイダー、およびその他の企業が WithSecure を信頼しています。大規模な金融機関、産業企業、主要な通信およびテクノロジー プロバイダーも同様です。 フィンランドのセキュリティ プロバイダーは、サイバー セキュリティに対する結果志向のアプローチにより、企業がセキュリティを運用に関連させ、プロセスを保護し、ビジネスの中断を防ぐのを支援します。