Microsoftは新しいOutlook for Windowsを開発しており、従来のOutlookや他社製のメールクライアントアプリからの乗り換えを推奨しています。しかし、この新しいOutlookはIMAPやSMTPの資格情報をMicrosoftのサーバーに送信していることが明らかになっています。

Microsoft lays hands on login data: Beware of the new Outlook | heise online

https://www.heise.de/news/Microsoft-lays-hands-on-login-data-Beware-of-the-new-Outlook-9358925.html



MicrosoftのWindows 11を記事作成時点での最新バージョンとなる23H2にアップグレードすると、スタートメニューにおすすめアプリとして新しいOutlookが表示されるようになります。新しいOutlookを起動したときに利用を提案されるテストバージョンは、2024年にWindowsの標準メール・カレンダーアプリとして、すべてのユーザーに提供されることになる予定のもの。これについてはMicrosoftの従業員であるケイトリン・ハート氏も、Outlookの公式ブログ上で説明しています。



この新しいOutlookがIMAPやSMTPの資格情報をMicrosoftのサーバーに送信していると、ドイツのテクノロジーメディア・heise onlineが報じました。

新しいOutlookで「会社で使用している独自のメールサーバーを使用しているメールアカウント」を利用しようとすると、以下のようなメッセージが表示されるそうです。メッセージには「メールをMicrosoft Cloudで同期するために、あなたのIMAPアカウントをOutlookに追加する必要があります。既存の連絡先やイベントは保存されませんが、Outlookで作成したものはMicrosoft Cloudに保存されます」と記されています。なお、メッセージ下部にあるリンクは、「OutlookでMicrosoft Cloudにアカウントを同期する」というタイトルのサポートページへのリンクです。



新しいOutlookではMicrosoft Cloudへの同期をWindowsデバイスだけでなく、Android・iOS・macOSデバイスでも実行します。これは「メール・カレンダー・連絡先が、メールサービスとMicrosoftのデータセンターの間で同期される」ことを意味します。

OutlookとMicrosoftサーバー間のトラフィックはTLSで保護されていますが、データ自体はプレーンテキストのまま送信されているそうです。これを分析すると、MicrosoftがユーザーのIMAPおよびSMTPの資格情報を新しいOutlookからMicrosoftのサーバーに送信していることが確認できます。



古いOutlookから新しいOutlookに切り替えると、それに伴って新しいソフトウェアがインストールされるそうです。古いOutlookで設定したIMAPアカウントが自動で転送されることはありませんが、Windowsに保存されているアカウントは自動で転送されるよう設定されているとのこと。

なお、2023年初頭にもMicrosoft Officeの更新プログラムがMacに適用されると、Outlookがユーザーに通知することなくデータを勝手にMicrosoftのクラウドサーバーにリダイレクトするという問題が発生しました。対処法はIMAPアカウントを一度削除し再設定することでしたが、今回のケースでは再設定すればデータが送信されなくなるというわけではありません。

heise onlineの報道は海外掲示板のHacker Newsでも話題を集めており、「IT系メディアでさえ、アメリカのどの大手メディアもこの件について報じていないことに困惑しています」や「EUにはMicrosoftに代わる確実な選択肢が存在しないため、彼らはEUで自分たちに有利な法律を取得しています。Microsoftと同様の機能、ソフトウェアエコシステム、統合などを備えたEUベースの大手クラウドプロバイダーは存在せず、Microsoftと同等のオフィススイートやレガシー互換性を備えた使い慣れたオペレーティングシステム(OS)、コラボレーションプラットフォームを提供する企業もありません」といったコメントが寄せられています。

Windows 11 Update 23H2 is stealing users' IMAP credentials | Hacker News

https://news.ycombinator.com/item?id=38212453



また、ドイツにおけるデータ保護と情報の自由を担当するBfDIのウルリッヒ・ケルバー氏は、「MicrosoftがOutlook経由でデータを収集しているという報道は憂慮すべきものです。我々は、欧州データ保護監督当局との会議で、この件について法的責任を追うアイルランドのデータ保護委員に報告を求める予定です」とMastodonに投稿しています。