不正アクセスの獲得に Exchange Web サービスのプッシュ通知が使用される可能性

シナリオ

次のような状況で問題が発生します。

  • Exchange Server を実行している。

  • Exchange Web サービス (EWS) を有効にしている。

  • プッシュ通知が有効であり、環境内で使用している。

原因

クライアントが Exchange Server からのプッシュ通知にサブスクライブすると、クライアントに送信される通知には、Exchange Server を実行しているサーバーであるという認証に使用される可能性がある NTLM 情報が含まれています。 この情報は、サブスクライブしたクライアントへの認証済みの応答を許可するために以前は含まれていました。 プッシュ通知のみが影響を受けます。 プル通知とストリーミング通知は影響を受けません。

回避策

このシナリオを回避し、情報の悪用を防ぐには、サブスクライブ済みのクライアントに EWS 通知が送信されないようにする調整ポリシーを定義します。 この動作の影響を受けるのはプッシュ通知のみですが、調整ポリシーは、プッシュ通知、プル通知、ストリーミング通知に等しく影響があります。

注: この回避策によって、一部のクライアントが正しく機能しなくなる可能性があります。   たとえば、Outlook for Mac、Skype for Business、ネイティブ iOS メール クライアント、その他のサードパーティ製クライアントなどです。 また、カスタムの LOB アプリケーションも含まれる可能性があります。 

解決方法

マイクロソフトは、EWS クライアントと Exchange Server を実行しているサーバーとの間で確立されている通知コントラクトを変更し、認証された通知をサーバーからストリーミングできないようにしました。  このような通知は、匿名認証メカニズムを使用してストリーミングされるようになります。 クライアントはサブスクリプションを確立するために認証を受ける必要があるため、この方法は、サーバーの資格情報と ID を保護するために適切かつ必要な設計と考えられます。  Exchange Server を実行しているサーバーからの認証済み EWS プッシュ通知を利用しているクライアントがこの変更後も正常に機能するには、クライアントの更新プログラムが必要になります。

この動作の変更は、以下の Exchange リリースで反映されます。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×