WithSecure がMicrosoft Office 365 Message Encryption（OME）のセキュリティ上の脆弱性を発見

　ウィズセキュア株式会社（WithSecure）は10月14日、同社のセキュリティコンサルタントがMicrosoft Office 365 Message Encryption（OME）のセキュリティ上の脆弱性を発見し、セキュリティアドバイザリーを公開したと発表した。影響を受けるシステムは以下の通り。

Microsoft Office 365

　企業が暗号化されたメールを社内外に送信するために使用するOMEは電子コードブック（ECB）モードでの動作を利用しているが、ECBモードはメッセージの特定の構造情報を漏えいすることが判明しており、大規模なメッセージデータベースを持つ攻撃者が、漏えいした情報を使い、個々のメールに繰り返し見られるパターンの位置や頻度を分析し、他のメールやファイルに見られるパターンと照合することで、メールの内容を一部または完全に推測できる。

　ほとんどのOME暗号化メッセージが影響を受け、過去に送信・受信・傍受された暗号化メッセージに対しオフラインでの攻撃が可能で、すでに送信されたメッセージの解析を防ぐ方法はなく、権限管理機能を使用しての問題解決もできない。

　マイクロソフト社からの修正プログラムは予定されておらず、メール管理者やユーザーが利用できる安全な操作モードもないため、WithSecureではメールの機密性を確保する手段としてOMEの使用を避けることを推奨している。