Outlookのアドインを悪用しゼロ痕跡のメール持ち出し手法-Exfil Out&Look|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年02月04日更新日時: 2026年02月04日

Varonisの脅威研究チームは、Microsoft 365環境で利用されるOutlookアドインを悪用し、監査ログに痕跡をほとんど残さずにメール内容を外部へ送信できるサイバ攻撃手法を公開しました。

手法名はExfil Out&Lookで、Outlook Web Access（OWA）経由でアドインを導入した場合に、導入や実行がMicrosoft 365の統合監査ログ（Unified Audit Log）に記録されないという観測に基づきます。

この指摘が重要なのは、Microsoft 365の監査ログを前提に検知・調査・証跡管理を組み立てている組織ほど、アドイン由来の情報持ち出しを見落としやすくなるためです。

1 概要
2 原因
3 攻撃の仕組み
4 内部不正にも悪用される
5 情シスが取るべき対策

概要

アドインはOutlook上で動作する拡張機能で、業務効率化や外部サービス連携を目的に広く使われています。

一方で、最小権限のアドインでも送信中メールの件名・本文・宛先などにアクセスでき、イベントフック（送信時に起動）を使えば、ユーザーが気づかない形で外部サーバーへ送信できる点を示しています。

特にOutlook Web Access(OWA)でアドインを入れるケースでは、導入や動作に関する監査ログが残らないため、侵害アカウントの居座りや内部不正に悪用された場合に、後追い調査が極めて難しくなるとされています。

原因

調査レポートでは、Outlookデスクトップ版であればアドインのロード状況がWindowsイベントログ（Event ID 45）に出る一方で、Outlook Web Access(OWA)ではMicrosoft 365側の統合監査ログにアドインの導入や実行が残らない、と整理されています。

またMicrosoftは、Varonisからの報告（MSRC経由）を受けて本件を低深刻度のプロダクト上の改善提案として扱い、直ちに修正・パッチは予定していない、という扱いだったとされています。

つまり当面は、利用者側のガバナンスと監視で埋める必要がある、という状況です。

攻撃の仕組み

攻撃手法例は以下です

アドインのマニフェスト（XML）で、メール送信時に起動するイベント（OnMessageSend相当）を設定する
最小権限（例：現在編集中のアイテムにアクセスできる範囲）で、送信メールの本文・件名・宛先などを取得する
JavaScriptで外部サーバーへHTTP送信し、送信の裏で情報を持ち出す

この設計だと、ユーザーは通常の送信操作をしただけに見えます。

監査ログ上も、メール作成・送信に伴う一般的なイベントは残り得ますが、アドインが介在して本文が外部へ送られたことを示す記録が残りません。

内部不正にも悪用される

この脆弱性は外部攻撃だけでなく内部・権限濫用まで含めて成立します。

内部不正：本人がOWAでアドインを追加し、自分が送るメールを継続的に外部へ転送する
アカウント侵害：フィッシング等で奪われたアカウントに攻撃者がアドインを追加し、居座り手段として使う
特権濫用：管理者が組織全体へアドインを配布し、全社の送信メールを一括で取得する（配布時の一部ログは残っても、その後の動作ログは残らないとされる）

情シスが取るべき対策

今回の話は、監査ログを増やせば解決、というより、許可・棚卸し・外形監視の組み合わせが重要です。

アドイン導入を許す範囲を絞る

ユーザーがマニフェストをアップロードしてカスタムアドインを追加できる運用は、優先度高く見直すべきです。最低限、誰が何を入れられるのかを制限し、業務上必要なアドインは審査・許可制に寄せた方が事故が減ります。

組織展開アドインを定期監査する

管理者が全社展開したアドインは、導入時の痕跡は残っても日々の挙動は見えにくい、という前提で、インベントリの定期棚卸しが必要です。サービスプリンシパルやアプリ登録の増減、展開対象（Everyone / Fixed など）の確認を監査項目に入れてください。

監査ログ依存から、通信・DLP・データ側の監視へ寄せる

OWA起点でログが残りにくいなら、出口で捕まえる発想が必要です。具体的には、Outlookやブラウザから未知の外部ドメインへメール本文相当のデータが送られる通信、業務と無関係な外部APIへのPOSTなどをプロキシやSASEで監視します。あわせて、メール本文や添付に含まれる機微情報のDLP適用範囲も再確認した方が良いです。