2022年に開発者が会議スケジューリングツール「AgreeTo」を構築し、Microsoft Office Add-in Storeに公開した。Chrome拡張機能は1,000ユーザー、4.71星評価を獲得していた。2023年5月に最後のアップデートが行われた後、開発者はプロジェクトを放棄した。
Vercel上でホストされていたURLが請求可能な状態になり、攻撃者がこれを取得してフィッシングキットを展開した。Microsoftのインフラが引き続きこのadd-inをOutlookのサイドバー内で配信した結果、4,000件以上のMicrosoftアカウント認証情報、クレジットカード番号、銀行のセキュリティ回答が盗まれた。攻撃者は2026年2月10日時点でも盗んだ認証情報をテストしており、インフラは現在も稼働中である。
これは野生で検出された初の悪意あるMicrosoft Outlook add-inである。
From: 
AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials
【編集部解説】
今回のインシデントは、サプライチェーン攻撃の新たな進化形態を示しています。注目すべきは、攻撃者が一切の技術的侵入を行っていない点です。
Office add-insの仕組みそのものが、この攻撃を可能にしました。通常のソフトウェアと異なり、add-insは実行可能ファイルではなく「URLへの参照」に過ぎません。Microsoftが審査するのはXMLマニフェストだけで、そのURLが将来何を提供するかは一切監視されていません。開発者がVercelのデプロイメントを削除した瞬間、そのサブドメインは誰でも請求可能な状態になり、攻撃者はそれを取得しただけです。
この攻撃が検出困難な理由は、従来のセキュリティツールがすべて無力化される点にあります。メールゲートウェイはメール経由ではないため検知できず、エンドポイント保護は正規のMicrosoftプロセス内で動作するため警告を出さず、URLフィルタリングはvercel.appという正規のドメインであるため通過させてしまいます。
さらに深刻なのは、このadd-inが持つ「ReadWriteItem」権限です。攻撃者は単純なフィッシングページを表示しただけでしたが、技術的には被害者の受信トレイ全体を読み取り、メールを改ざんし、被害者のアカウントから任意のメールを送信することも可能でした。この権限は2022年の審査時に正当な理由で付与されたものですが、所有者が変わっても有効なままなのです。
Koiの調査によれば、この攻撃者は12以上の異なるフィッシングキットを運営するプロフェッショナルな犯罪組織で、カナダのISP、銀行、ウェブメールプロバイダーなどになりすまし、Interac e-Transfer決済を傍受する手法も使っていました。Outlook add-inは、その配布チャネルの一つに過ぎなかったのです。
この問題は2019年にMDSecの研究者によって既に指摘されていました。7年間、構造的な脆弱性は放置され、今回の「AgreeToSteal」という名で初めて実際の被害が確認されました。
企業や個人が取るべき対策は明確です。多要素認証(MFA)の徹底、インストール済みadd-inの定期監査、権限レビューの実施が求められます。しかし根本的な解決には、Microsoftがadd-inの継続的な監視メカニズムを導入する必要があります。
2026年、Microsoftは365全体でセキュリティ機能を強化していますが、add-inの「動的なURL参照」というアーキテクチャそのものが、今後も同様の攻撃を許容し続けるでしょう。放棄されたプロジェクトは、時限爆弾として機能し続けるのです。
【用語解説】
Office Add-in
Microsoft Officeアプリケーションにカスタム機能を追加する拡張機能。インストール型のソフトウェアではなく、開発者が指定したURLをiframe内で読み込む仕組みで動作する。Microsoft Office Add-in Storeから入手可能だが、実際のコンテンツは開発者のサーバーから毎回取得されるため、内容が後から変更される可能性がある。
ReadWriteItem権限
Office Add-inがユーザーのメールを読み取り、編集する権限。会議スケジューリングツールなどには必要な権限だが、悪意ある者の手に渡るとメールボックス全体へのアクセスを許すことになる。
サプライチェーン攻撃
ソフトウェアやサービスの供給経路を標的とする攻撃手法。直接的な侵入ではなく、信頼された配布チャネルや依存関係を乗っ取ることで、正規のルートを通じてマルウェアやフィッシングを配信する。
サブドメイン乗っ取り(Subdomain Takeover)
ドメインのサブドメインが外部サービス(VercelやAWSなど)を参照しているが、その外部リソースが削除または解放されている状態を悪用する攻撃。攻撃者が同じサブドメインを再取得することで、元のドメインの信頼性を利用できる。
多要素認証(MFA)
パスワードに加えて、スマートフォンへの通知やワンタイムパスワードなど、複数の認証要素を組み合わせてログインする仕組み。パスワードが盗まれても、第二の認証要素がなければ不正アクセスを防げる。
Interac e-Transfer
カナダで広く使用されている電子送金サービス。銀行口座間で即座に送金できる仕組みで、セキュリティ質問と答えを使った認証が特徴。今回の攻撃では、この質問と答えも盗まれていた。
【参考リンク】
Microsoft Office Add-ins 公式ドキュメント(外部)
MicrosoftによるOffice Add-insの開発者向け公式ドキュメント。アーキテクチャ、セキュリティモデル、開発ガイドラインを掲載。
Vercel 公式サイト(外部)
Webアプリケーションのホスティングプラットフォーム。今回の攻撃では放棄されたVercelサブドメインが悪用された。
Koi – Self-Provisioned Software Security(外部)
今回のAgreeToSteal攻撃を発見・分析したセキュリティ企業。自己プロビジョニングソフトウェアの継続的監視を専門とする。
Microsoft Office Add-ins Store(外部)
Microsoftが運営する公式のOffice拡張機能マーケットプレイス。Outlook、Excel、Word向けのAdd-inを提供。
【参考記事】
First Malicious Outlook Add-In Found Stealing 4,000+ Microsoft Credentials(外部)
The Hacker Newsによる報道。AgreeToStealが野生で検出された初の悪意あるOutlook Add-inであることを報じている。
Microsoft Store Outlook add-in hijacked to steal 4,000 Microsoft accounts(外部)
BleepingComputerによる詳細レポート。2022年に正規ツールとして公開されたAgreeToが攻撃者に乗っ取られた経緯を報じる。
Malicious Microsoft Outlook Add-in Stole 4,000+ Account Credentials and Credit Card Details(外部)
CyberPressによる報道。攻撃者が12以上のフィッシングキットを運営し、Interac e-Transfer決済を傍受していた事実を報じている。
【編集部後記】
みなさんは今、どんなブラウザ拡張機能やOffice Add-inを使っていますか?便利だからと何年も前にインストールしたツールが、実はアップデートが止まっていたり、開発者が離れていたりしないでしょうか。
今回の事例は、私たちが「信頼」の上に成り立つエコシステムの中で、どれほど脆弱な立場にいるかを示しています。Microsoftという巨大企業のストアに並んでいるからといって、その安全性が永続的に保証されるわけではありません。
この機会に、インストール済みのadd-inやプラグインを一度見直してみませんか?そして多要素認証をまだ有効にしていないサービスがあれば、ぜひ今日から始めてみてください。
