Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性 | ScanNetSecurity
2026.07.09(木)

Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

URLが「https://make.powerapps.com」 で始まることのみを検証する欠陥で、攻撃者はこれを悪用し、サブドメイン「https://make.powerapps.com.fakecorp.ca」 などを作成し、信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

脆弱性と脅威 脅威動向

 Tenable, Inc.は6月14日、Microsoft Power Apps 内の欠陥が攻撃者に悪用されてメール、Teams のメッセージ、OneDriveのファイル盗取の可能性について同社ブログで発表した。

 Microsoft Teams のユーザーは、デフォルト機能で所属しているチーム内のタブでアプリを起動でき、企業もOffice 365 や Microsoft Teams を Business Basic 以上のライセンスで使用している場合は、同様にタブ内で Microsoft Power Apps を起動できるが、Tenable社ではPower Apps タブに読み込まれたコンテンツに、不適切に固定された正規表現が適用されていることを発見した。

 Tenable社によると、タブ内のコンテンツのソースを検証するメカニズムが、出典URLが「https://make.powerapps.com/」ではなく「https://make.powerapps.com」 で始まることのみを検証し、それより深く検証しないという欠陥で、攻撃者はこの欠陥を悪用し、自分が制御している任意のドメインの配下に https://make.powerapps.com.fakecorp.ca などのサブドメインを作成し、そこから信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

 本脆弱性は、Microsoft Teams がその中で起動されている Microsoft Power Apps に付与している権限によってさらに深刻化し、悪用が成功した場合に、アプリが起動されているタブにアクセスするユーザー全員が乗っ取られる可能性があり、乗っ取られたユーザーの Teams 内のグループメッセージの閲覧、メールや OneDrive の保管先にアクセスする等が可能となる。

 Microsoft では本件の解決策を実装済みで、エンドユーザー企業は対応の必要がない。

《高橋 潤哉( Junya Takahashi )》

関連記事

特集

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  4. STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    STNet のメールサービスを利用する 397,152 名分のアドレスとパスワードが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

ランキングをもっと見る
PageTop