目次
トロイの木馬のようにふるまうようになったOffice 365、Teamsの強制インストールやChromeのデフォルト検索サイトをBingに変更する等
Office 365といえば、ExcelやWordといったお馴染みのオフィススイートや、クラウドストレージのOneDriveなどをまとめた物で、多くの企業や個人ユーザが利用しているアプリケーションです。
サブスクリプション型を取っており、料金を支払い続ければ常に最新の物を利用できることや、AzureADとの連携が可能なのでユーザや管理者にとってメリットのある物でした。
ですが、最近このOffice 365のアップデートが悪質な物に変わってきており、さならがらトロイの木馬のような動きをするようになってきました。
Office365をインストールしたら強制的にTeamsがインストールされる
2020年1月14日より、Office 365スイートにTeamsが内包されるようになってしまい、Office 365をインストールすると自動的にTeamsがインストールされるようになってしまいました。
TeamsはMS社がごり押ししているグループチャットアプリです。競合ですとSlackが有名ですね。
最近では、アクティブユーザ数が2000万人を突破したとのニュースが出ていましたね。
Slackと違った利点と言えば、Exchange OnlineやSharepoint Onlineとシームレスに連携できることや、O365を契約しておけばついでについてくるので、Slackのようなグループチャットアプリに課金する必要がありません。
ですが、TeamsはSlackの後発アプリだったこともあり、既にSlackを導入している企業にはあまり魅力的ではありません。
そんなTeamsを利用する予定もないユーザに対しても、強制的にTeamsをインストールさせるということは非常に悪質であると言えます。
挙げ句の果てにアンインストールも普通のアプリケーションとは少し違う、という点がその悪質さをさらに高めています。
特に企業利用では野良グループチャットが発生することにより、コーポレートガバナンスが損なわれる恐れもあります。
Teamsの強制インストールを回避する
Teamsの強制インストールを回避するにはいくつか方法が用意されています。
1つはOffice展開ツールを利用する方法。
configuration.xmlファイルのExclude App要素を利用すれば強制インストールを回避することができます。
[shell]
<Configuration>
<Add OfficeClientEdition="64" Channel="Monthly">
<Product ID="O365ProPlusRetail">
<Language ID="en-us" />
<ExcludeApp ID="Teams" />
</Product>
<Product ID="VisioProRetail">
<Language ID="en-us" />
</Product>
<Product ID="ProjectProRetail">
<Language ID="en-us" />
</Product>
<Product ID="LanguagePack">
<Language ID="de-de" />
</Product>
</Add>
</Configuration>
[/shell]
しかしこちらはあくまで新規インストールをする時にだけ利用できる方法なんですよね。
【新規インストール/アップデート対策】GPOを利用して強制インストールおよび自動起動を無効化する
既存のOffice 365で強制インストールや、自動起動を防ぐ事ができます。(Windowsのみ)
上記の管理用テンプレート ファイル (ADMX/ADML)を導入することでTeamsに関連するポリシーが設定できるようになります。
管理用テンプレートの導入
上記でダウンロードしてきた「admintemplates_x86_4966-1000_en-us.exe」を実行して、適当なディレクトリを指定した中身を展開します。
続いて、\hoge.local\SYSVOL\hoge.local\Policies\PolicyDefinitionsディレクトリを作成します。
先ほど展開した物の中に「admx」ディレクトリがあるので開いてみると、上図の通りの構成となっています。
まずは「.admx」ファイルを\hoge.local\SYSVOL\hoge.local\Policies\PolicyDefinitionsへコピーします。
続いて「admx」ディレクトリの中にある「ja-jp」ディレクトリを\hoge.local\SYSVOL\hoge.local\Policies\PolicyDefinitionsへコピーします。
これで管理用テンプレートの導入は完了です。
ポリシーの設定
管理用テンプレートの導入が完了したら、グループポリシー管理エディタで適当な名前のポリシーを作成します。
そして、「コンピューターの構成」->「ポリシー」->「管理用テンプレート」->「Microsoft Office 2016(マシン)」->「更新」の順に展開し、「Microsoft TeamsをOfficeの新規インストール時または更新時に一緒にインストールしない」を開き、このポリシーを「有効」にします。
続いて「ユーザーの構成」->「ポリシー」->「管理用テンプレート」->「Microsoft Teams」の順に展開し、「インストール後にMicrosoft Teamsが自動的に起動しないようにする」を開き、このポリシーを「有効」にします。
これでOffice 365の新規インストールおよび、既存のOffice 365をアップデートしても、Teamsの強制インストールを防ぎかつ、自動起動を無効化することができます。
macOSについてはJamf Proなどを使う
macOSについてはGPOが適用されないので、Jamf Proなどを使って/Applications内のMicrosoft Teamsを削除させるしか方法がありません。
機能更新アップデートが入る度にTeamsが強制インストールされそうなので、定期的に実行できるようにしておくとより安心です。
Teamsだけでは飽き足らず、Chromeのデフォルト検索サイトをBingにする狂気
Office 365のトロイの木馬化はTeams強制インストールだけに飽き足らず、2020年2月中旬にリリース予定のバージョン2022のアップデートを適用すると、Chromeのデフォルト検索サイトを非常に使いづらい「Bing」に強制的に変更するようになります。
Chromeは今では個人や企業でも幅広く利用されているWEBブラウザなので、その影響度は計り知れません。
本当にトロイの木馬みたい
トロイの木馬型マルウェアは感染すると、C&Cサーバと通信を行い更に悪意のあるマルウェアを被害PCに感染させる動きをしますが、Office 365もトロイの木馬型マルウェアとそっくりな動きをするのでびっくり。
アップデートサーバと通信を行って不要なTeamsを強制インストールさせたり、Chromeのデフォルト検索サイトをBingに変える、この動きを見ていると本当にトロイの木馬型マルウェアとそっくりだなぁ・・・
Microsoftは残念ながらグローバル企業なので、ユーザ企業からのクレームだけではなかなか仕様を変更しないので、どこか大きな政府機関などからクレームが入ることを期待するしかありませんね・・・
Source: Office 365 Blog | Office 365 ProPlus と同時に Microsoft Teams を展開する | Microsoft Search in Bing および Office 365 ProPlus