電子メール、連絡先、パスワード - なんと!新しいOutlookはマイクロソフトとすべてを共有し、あなたのセキュリティを危険にさらす
マイクロソフトの新しいウィンドウズ用アウトルックは、あなたのすべてのデータをそのサーバーと共有し、最大813のパートナーと共有する。
MSアウトルックはパスワードを共有するのか?
2023年11月、ドイツのテックサイトHeiseが、Windowsのメールアプリに代わる新しいOutlookが、ユーザーのパスワードをマイクロソフトのアメリカのサーバーと共有しているというスキャンダルを引き起こした。
Windowsの新しいOutlookがパスワードやその他の機密情報を共有するという警告は、セキュリティに深刻な影響を与えるため、無視することができなかった。ドイツからアメリカまで、ほとんどすべての政府機関がウィンドウズの企業環境を使用していることを考えれば、これは国家安全保障上も特に問題である。その結果、ドイツ連邦データ保護・情報自由委員会のウルリッヒ・ケルバー委員は、マストドンで次のように述べている:
「MSによるアウトルック経由のデータ収集が疑われるという報告は憂慮に値する。火曜日に開催される欧州データ保護監督当局の会合で、法的責任を負うアイルランドのデータ保護委員に報告を求める予定だ。“
現在までのところ、アイルランドの当局者はマイクロソフトの電子メール・パスワード・セキュリティ問題に関して何の声明も出していないようだが、新しいOutlook for Windowsがどのようにパスワードを共有しているのか、このことがあなたのセキュリティにとって何を意味するのか、そしてマイクロソフトによる行き過ぎたデータ収集から身を守るにはどうすればいいのか、深く調べてみる価値はあるだろう。
それでは、Outlookのアップデートを詳しく見てみよう。私たちのプライバシーとオンライン・セキュリティに脅威をもたらす、このアップデートの裏側では何が起こっているのだろうか?
積極的なデータ収集
最新のアップデートで、Outlookはグーグル(アルファベット)、フェイスブック(メタ)、アップルといったシリコンバレーのハイテク大手の足跡をたどり、ますます多くのデータを収集している。明らかに、マイクロソフトはデータが新しい石油であり、すでに持っているもの、つまり世界中の10億人の個人、ビジネス、公共部門の顧客から得た膨大なデータを活用することで、収益を飛躍的に伸ばすことができることを学んだ。
特に、マイクロソフトが現在最も著名な人工知能企業であるOpenAIに多額の投資を行っている今、ユーザーデータの収集と分析はますます有利になっている。
2012年、グーグルがプライバシーポリシーを変更し、大手ハイテク企業がユーザーデータを収集できるようになったとき、マイクロソフトは新聞広告を掲載し、グーグルに比べて自社のプライバシー保護が強化されていることを強調した。
それから10年以上経った今、マイクロソフトは、プライバシーはお金をもたらさないが、データ収集、ユーザー・プロファイリング、パーソナライズされた広告はお金をもたらすことを学んだ。マイクロソフトやアップルズのような、かつてはプライバシーを擁護していた企業(2020年のこのiPhone広告を参照)が、今では収益を伸ばすためにデータ収集にも手を染めているのを見るのは悲しいことだ。
ハイテク業界では、株主価値を高めることだけが重要なようだ。そして、アメリカやヨーロッパのような飽和市場では、これらの企業がより多くのiPhoneやWindowsコンピュータを売ることができなければ、データ収集やパーソナライズされた広告に頼らざるを得ない。
拡大するパートナー・ネットワーク
そのため、新しいOutlook for Windowsがプライバシーポリシーに記載されているように、何百ものサードパーティとデータを共有していることは驚きではない。
ヨーロッパのGDPRのおかげで、マイクロソフトはヨーロッパのユーザーからその過剰なデータ共有に関する情報を隠すことはできない。EUにお住まいで、新しいPCで初めて新しいOutlook for Windowsを使用する場合、クッキーの要求を通じてこの情報が表示されます:
当社および772のサードパーティは、お客様のデバイス上の情報の保存および/またはアクセス、製品の開発および改善、広告およびコンテンツのパーソナライズ、広告およびコンテンツの測定、オーディエンスインサイトの導出、正確なジオロケーションデータの取得、およびデバイススキャンによるユーザーの識別のためにデータを処理します。一部の第三者は、正当な利益に基づいてお客様のデータを処理する場合があります。お客様は、以下の「プリファレンスの管理」リンクを選択するか、またはOutlookの設定を通じて、いつでも同意または拒否する権利を行使することができます。すべてを受け入れる]ボタンをクリックすると、Outlookの使用中にこれらの技術が使用され、これらの目的のためにお客様のデータが処理されることに同意したことになります。
この要求が表示されたら、すぐにクリックしてしまい、誤って「すべて受け入れる」を押さないことが重要です。もしそうしてしまうと、マイクロソフトがその拡大するパートナー・ネットワークとあなたの個人情報を様々な目的で共有することを許可することになり、その中にはプライバシーに敏感な人なら誰でもビクッとするようなものもある。すべてを受け入れることで、あなたは以下のようなデータ分析とトラッキングに同意することになります:
- パーソナライズされた広告の表示
- オーディエンスインサイトの取得
- ジオロケーションデータの保存
- あなたのデバイス上のデータへのアクセス
- デバイススキャンによるお客様の特定
繰り返しますが、データ共有の許可を求めるポップアップが表示されたら、必ず「すべて拒否」をクリックしてください!
まず第一に、マイクロソフトがあなたの機密個人データを何百もの広告主やデータブローカーと共有することを望まないでしょう。マイクロソフトのサードパーティとのデータ共有は、クッキーの警告が「813のパートナー」とのデータ共有に更新されたように、かなり有利なステップのようだ。あなたが共有に同意した場合、今後さらに何社のパートナーがあなたのデータを手にすることになるのか、誰にもわからない。
トップ5の広告主に加わる
このデータ共有の増加で明らかになったことがある。マイクロソフトがオンライン広告主トップ5の一角を占めるようになることだ。
すでに2022年、マイクロソフトの広告担当チーフ、ロブ・ウィルクはインタビューで、米国の巨大ハイテク企業は広告収入を200億ドルに倍増させる計画だと述べた。今、私たちはこの計画が実行に移されるのを目の当たりにしている。
2023年9月に新しいOutlook for Windowsをリリースすることで、マイクロソフトは広告主上位5社の仲間入りを果たした:アルファベット(グーグル)、メタ(フェイスブック)、アップル、アマゾン、そしてマイクロソフトだ。
Redditの人々は以前から、Outlookが電子メールとして広告を偽装していることに不満を持っていた:
だから、これは目新しいことではないが、広告マシンは新しいOutlookでさらに強力になるだろう。アウトルックユーザーの顔に押し付けられる広告は、マイクロソフトの自社製品か、マイクロソフトがパートナーに販売しているサードパーティ製品に関するものだ。
マイクロソフトは、あなたにアウトルックを無料で使わせているかもしれないが、あなたの時間と注意をサードパーティに売ることで、あなたを収益化しているのだ。これは、グーグルやフェイスブックといった他の大手テクノロジー・サービスが行っていることと似ているが、新しいアウトルックでは、データ共有はまったく新しい次元を模索している。
マイクロソフトの同期機能を使えば、サードパーティーとのデータ共有(あなたが拒否することもできる)に加えて、新しいOutlookはパスワードなどの機密データをクラウドサーバーと共有する。すべてのパスワードが1つの中央サーバーに保存されるため、クレデンシャル・スタッフィング攻撃につながる可能性がある:マイクロソフトのものだ。
この情報は、セキュリティに関心のある人々には衝撃的で、Outlookのアカウントを削除することがトレンドになっている。
しかし、個人的なメールボックスをマイクロソフトに任せてもいいのかどうか判断する前に、Outlookがあなたのデータをどのように共有しているのかを技術的に深く掘り下げて、何が起こっているのかを正確に理解しよう!
セキュリティの問題新しいOutlookのデータ共有方法
新しいMS Outlook for Windowsは、私たちが以前知っていたようなローカル電子メールクライアントではない。新しいバージョンは、マイクロソフトのクラウド環境へのゲートウェイとして機能する。マイクロソフトが所有する電子メールプロバイダ以外からの電子メールをデバイスに同期させるために、マイクロソフトは各電子メールアカウントのIMAPおよびSMTP認証情報を要求し、サーバーに保存する。
新しいOutlookにアカウントを追加する際、ユーザーには情報の共有に関するやや威圧的な警告が表示される。IMAPアカウントを接続するには、マイクロソフトのクラウドと電子メールを同期する必要があるというメッセージだ。既存の連絡先やカレンダー・イベントはマイクロソフトと共有されないかもしれないが、アウトルックで新たに追加した情報はすべてマイクロソフトのクラウドに保存される。
詳しくは、Outlookに表示されるメッセージをご覧ください:
「アカウントをMicrosoft Cloudに同期するとどうなりますか?アカウントをマイクロソフトクラウドに同期すると、電子メール、カレンダー、連絡先のコピーが電子メールプロバイダとマイクロソフトのデータセンター間で同期されます。メールボックスのデータがMicrosoft Cloudにあることで、Microsoftアカウントと同じように、Outlookクライアント(New Outlook for Windows、Outlook for i0S、Outlook for Android、Outlook.com、またはOutlook for Mac)の新機能をMicrosoft以外のアカウントで使用することができます。“
警告にあるように、共有データにはパスワードのようなログイン情報まで含まれる可能性がある。新しいアウトルックによって、マイクロソフト社は、IMAP経由で接続されたあなたの電子メール・データすべてに対して、過剰な権限を与えることになる。マイクロソフトはいつでもあなたのメールボックスをスキャンし、機密データを第三者と共有することができる。
あなたのログイン認証情報と電子メールだけでなく、あなたがアプリケーションで作成するかもしれない将来の連絡先やカレンダーイベントも、アウトルックからマイクロソフトのサーバーと共有されている。新しいアウトルックにログインするとき、あなたはマイクロソフトにあなたのメールアカウントへの無制限のアクセス権を与えることになる。
XDA Developersによれば新しいOutlookクライアントは、もはや “クライアント “ではなく、マイクロソフトのクラウドサービスを包むラッパーだ。パスワードを含むあなたのデータは、もはやOutlookクライアントのローカルには保存されず、マイクロソフトのサーバーに保存され、ローカルに取得されます。
共有データは暗号化されて安全か?
セキュリティの専門家としては、このデータの共有はもちろんエンド・ツー・エンドで安全に暗号化されることを期待したい。しかし、ドイツの技術ジャーナリストが発見したように、新しいアウトルックはそうではない。
データはTLS保護でマイクロソフトのサーバーに送信されているが、データはプレーンテキストで送信されている。ドイツの技術雑誌『c’t of Heise publishing house』は、新しいIMAP/SMTP接続を設定しながらテストを行い、その結果の恐ろしい画像を掲載した:
コードのスクリーンショット:Outlookはマイクロソフトのクラウドと暗号化されていないデータを共有している。
Heise.deのチームは、これらの発見を踏まえ、新しいOutlookの深刻なセキュリティ問題についてマイクロソフト社にコメントを求めたが、ワシントン州レドモンドのキャンパスからは何の返答もなかった。
これは、ハイゼのIT専門家にとって本当にショックなことである。もしあなたが同じように感じているのなら、OutlookとGmailの比較、あるいはプライバシーとセキュリティのためにさらに良い、OutlookとTuta Mailの比較を見て、新しいEメール・プロバイダーを探し始めることができる。
警戒すべき理由
パスワードを中央サーバーに送信することは、最悪のアイデアであり、最悪のセキュリティであるという事実を超えて、すべてのメール、カレンダーイベント、連絡先をマイクロソフトのサーバーに同期することによって、どのような脅威がもたらされるのだろうか?
まず第一に、これは信頼の問題である。マイクロソフトはアメリカの企業であり、アメリカの司法管轄下にある。彼らが法執行機関や諜報機関とどの程度協力するかは不明だが、大手テック企業が政府機関と癒着したがるという証拠はすでに存在している。米国はファイブ・アイズ同盟の一員であるため、これは非常に心配なことだ。
米国では、大手テック企業があまりにも進んで機密ユーザーデータを当局と共有したスキャンダルがいくつか知られている。例えば、2016年にはヤフーがすべての電子メールアカウントへのアクセスを米当局に提供したというニュースに衝撃が走った。2000年代初頭には、AT&Tが641A号室として知られる施設内にNSAのための通信傍受室を建設し、運営していたと報じられた。
マイクロソフト社が同様の行動をとっているかどうかはわからないが、強力なプライバシー法とエンド・ツー・エンドの暗号化がなければ、マイクロソフト社の米国サーバーにある機密顧客データが安全であるとは誰も断言できない。
国家による監視の脅威だけでなく、マイクロソフトがどの程度データブローカーと協力してユーザーデータを収集・販売しているかもわからない。しかし、新しいOutlook for Windowsでヨーロッパの顧客に表示される新しいプライバシーポリシーのポップアップから判断すると、データの共有は広範囲に及んでおり、さらに拡大するだろう。
アメリカでは、サードパーティのドクトリンも注目に値する。米国におけるサードパーティの原則は、電子メール・プロバイダーなどのサードパーティに自発的に情報を提供する場合、その情報には「合理的なプライバシーの期待は持てない」と宣言している。米国には、欧州のGDPRのような法律がないため(欧州ではハイテク企業が個人データを保護することが保証されている)、人々がマイクロソフトと共有するデータは米国当局から保護されない。法的令状やその他の司法監督なしに入手される可能性さえある。
これは容認できない。
ビジネスにとっての意味
ビジネスにはそれぞれ独自のユースケースとセキュリティ要件がある。新しいアウトルックを使うことは、企業にとって何を意味するのだろうか?
長年にわたってビジネス顧客向けのソフトウェア・スイートが提供されてきたマイクロソフト・オフィスをすぐにやめて、LibreOfficeのようなフリーでオープンソースのソリューションに切り替えることはないだろう。一部の企業、特に機密情報を扱う企業では、マイクロソフトのアウトルックによる今回の変更が、顧客やクライアントのプライバシーにとってどのような意味を持つかを考慮しなければならない。
EU域内で事業を展開する企業や組織にとっては、GDPRプライバシー法を慎重に検討し、今回のアップグレードがEUのプライバシー基準に適合するかどうかを判断する必要がある。
米国内で運営されている医療行為については、HIPAAへの準拠が大きな関心事となるだろう。電子メールのログイン情報をマイクロソフトに渡すということは、患者に関する機密情報にアクセスできる可能性を巨大テック企業に与えるということだ。
知的財産(IP)の盗難も興味深い脅威となる。マイクロソフトのクラウド環境内に保存しているコンテンツに知的財産に関わる機密情報が含まれている場合、あなたのビジネスは、企業データの侵害や暴露がもたらすリスクを評価する必要がある。
まとめると、Outlookの電子メールはプライベートで安全なのだろうか?マイクロソフトは、Outlookの電子メールを保護するためのさまざまな暗号化機能を、特にビジネス顧客向けに誇っているが、今回の新しいアップデートで、Outlookはもはやプライベートで安全なものとは言えなくなった。
クラウドサーバーは他人のコンピューターに過ぎないということを常に覚えておいてほしい。もしあなたのデータが、転送中や保存時にエンド・ツー・エンドで安全に暗号化されていないのであれば、そのサーバー上でも安全ではありません。
プライバシーのスイッチオン
セキュリティだけでなくプライバシーにも影響を及ぼすこのような侵略的な変化に直面して、平均的なインターネット・ユーザーに何ができるだろうか?
最初のステップは、個人的な使用にOutlookを選ぶのをやめることだろう。電子メール、カレンダー・イベント、連絡先リストを保護するオープンソースのソリューションはたくさんある。
Tuta Mailは、これらすべての機能と、すべてのデータの完全なエンドツーエンドの暗号化を提供し、私たちはあなたのログイン認証情報にアクセスすることはありません。
Outlookが個人ユーザー向けのカスタムドメインをサポートしなくなったのとは対照的に、Tuta Mailでは独自のカスタムドメインで無制限のメールアドレスを使用することができます。
次のステップは、友人や同僚、そしてかかりつけの医院にこれらの懸念を伝えることです。ビッグ・テックに代わるプライバシー尊重の素晴らしい選択肢があることを広めることで、私たちは皆、デジタルの未来をより安全で、安全で、自由な空間にするために戦うことができるのです。
私たちTutaは、あなたのプライバシーがデフォルトで保護されるような、より良いインターネットを構築することを約束します。