Microsoft の新しい Outlook クライアントはメールを静かにクラウドに移動します

Microsoft の新バージョンの Outlook には、物議を醸すデータ共有機能がいくつか導入されています

クイックリンク

  • 新しい Outlook に期待できること
  • 新しい Outlook には問題のある動作があります
  • それは電子メールクライアントですか?
  • データに関する危険な前例

マイクロソフトは最近、 新しいバージョンの Outlook の上 Windows PC. これは、古くなった Windows メールと従来の Outlook を置き換えるように設計されているため、洗練された新しい機能が導入されています。 電子メールとカレンダーを 1 つに統合しながら、デザインと大幅に緊密なクラウド統合を実現します。 アプリ。 また、ライティングアシストや「その他の高度な AI 機能」を含む、新しい生成 AI 機能も導入されています。

ただし、このアプリにはプライバシーに関する重大な懸念もいくつかあります。 ドイツのブログの調査に基づく heise.de、XDA で再現することができましたが、新しい Outlook アプリははるかに緊密になっているようです。 ユーザーの予想よりもクラウドと統合され、潜在的な Microsoft データの範囲が広がります。 コレクション。 これは重大なプライバシー問題を意味するため、ユーザーの期待について Microsoft が答えるべき多くの質問があります。

新しい Outlook に期待できること

電子メールは依然として電子メールですよね?

Outlook の新バージョンは 9 月初旬から提供されており、さまざまな新機能が導入されています。 アプリにはすでに含まれています 新しいCopilot AI機能、そしてMicrosoftは、2年以内に新しいバージョンのOutlookが既存のOutlookアプリを置き換えるつもりであると述べています。 同社はまた、より広範なリストを発表した。 今後の機能、おそらく今後数か月以内に発表されるでしょう(特に AI 機能に関して)。 新しいアプリには新しい UI があり、Microsoft のクラウド バージョンのオフィス アプリとの整合性が高まり、カレンダーや Word などの他の Office サービスとの統合も強化されています。

Outlook の新しいバージョンは、Outlook for Windows として Microsoft Store で入手できるようになりました。 インストールすると、アプリは Outlook (新規) としてスタート メニューに表示されます。

新しい Outlook には問題のある動作があります

何に登録しているのか理解していない可能性があります

Outlook デスクトップ Gmail クライアントからのプライバシー警告を示すスクリーンショット。

新しい Outlook クライアントを初めて開くとき、ユーザーは他の電子メール クライアントと同様にログインするように求められます。 Gmail や iCloud などの一般的なプロバイダーで電子メール アドレスを入力すると、クライアントは Oauth2 ワークフローを使用してブラウザーで認証します。 サードパーティのドメインを入力すると、IMAP パスワードの入力を求められます (サポートされている場合)。 これはすべて、電子メール クライアントにとってはごく普通のことです。

ただし、認証されると、使用するように通知する無害なウィンドウが表示されます。 新しいバージョンの Outlook では、Microsoft が電子メール、イベント、連絡先を Microsoft に同期する必要があります。 雲。 キャンセルのオプションは利用可能ですが、拒否してクライアントの使用を継続するオプションはありません。 あ サポートリンク には、アクセスによってメールなどの機能が有効になることを説明する追加情報が提供されます。 検索、集中受信トレイ、定期的な会議などに使用されますが、このデータの制限については明確に述べられていません。 コレクション。

出典: マイクロソフト

この警告から、ユーザーは、ログインしている電子メール クライアントが、 電子メール クライアントとして機能し続けるため、クライアントは一部の限定されたデータを送信して処理する可能性があります。 雲。 しかし、そうではありません。 電子メール クライアントが認証する代わりに、資格情報が Microsoft クラウドに渡され、ユーザーに代わって認証が行われます。 この時点から、すべての処理 (メールの取得を含む) はクラウドで処理されます。 クライアントから電子メール プロバイダーに直接送信されるトラフィックは観察できませんでした。

これは OAuth ワークフローと IMAP ワークフローの両方に当てはまりますが、サードパーティの IMAP サーバーで認証する場合に最も顕著になります。 この場合、Outlook クライアントは、電子メール プロバイダーから提供された IMAP 資格情報を取得してアプリケーションにアクセスし、TLS 経由で Microsoft のクラウドに直接転送します。 インターネットと Outlook クライアントの間に透過的な中間者プロキシを設定して、暗号化されたトラフィックを傍受することで、これを再現できます。 以下のスクリーンショットでは、サードパーティの電子メール プロバイダーから生成されたアプリのパスワードが Microsoft のサーバーと直接共有され、保存されています。 この要求に対する応答は、Microsoft サーバーとの永続的な認証セッションを維持するために使用されるアクセス トークンと更新トークンです。

それは電子メールクライアントですか?

Outlook (新しい) は、ローカルでの機能が思ったよりも低い

この例で使用している電子メール プロバイダーは、新しいログインごとに IP アドレスとアクセス時間を記録します。 Outlook クライアントがメール サーバーと直接通信している場合 (つまり、クライアントが行うべきように動作している場合)、 その場合、電子メール プロバイダーが記録する IP アドレスは、Outlook を実行しているコンピューターと同じである必要があります。 の上。 これを試したいずれの場合も、ホーム IP アドレスからの接続は記録されませんでした。 代わりに、最初の IMAP/SMTP 接続は 52.x.x.x IP アドレスから行われました。 簡単な WHOIS 検索により、この IP アドレスが Microsoft に登録されていることがわかります。 これは、Outlook の「クライアント」がまったくそのようなものではなく、完全に Microsoft のクラウド サービスのラッパーとして機能し、ローカル クライアントが実際にはまったくログインしていないことを示しています。

Outlook の「クライアント」はそのようなものではなく、完全に Microsoft のクラウド サービスのラッパーとして機能します。

ここにはユーザーにとって明らかな問題があります。 新しい Outlook クライアントにサインインするだけで、ユーザーは電子メール アカウント全体への包括的かつ無制限のアクセスを Microsoft クラウドに効果的に提供することができます。 リンクされたサポート ページで Microsoft がプライバシーに言及しているのは、プライバシーに関する声明への一連のリンクだけであり、 サービス契約。どちらの契約でも、Microsoft 製品と サービス。 少なくとも OAuth2 で認証する場合、ほとんどの電子メール プロバイダーは、ある種のプライバシーの概要を提供します (以下の Google の例と同様)。 IMAP で認証する場合、ほとんどの電子メール プロバイダーは、電子メールの「クライアント」がクラウドへのゲートウェイではなく、少なくともクライアントとして機能していると想定しているため、通常、ユーザーに与えられる警告はさらに少なくなります。 また、電子メール アカウントにログインするとき、または一部の AI 機能が無効になっているモードでクライアントを使用するときに、このクラウド統合を拒否する明確な方法がないことに注意することも重要です。

電子メールのクライアント機能がクラウドにオフロードされると、セキュリティ エンジニアや研究者がクライアントの動作を簡単に検査する機能も失われます。 Microsoft からデータに対して行われたリクエストを追跡することは可能です (ただし、ユーザーは自分の電子メールを実行する必要があるため、注意が必要です) ログにアクセスできるサーバー)ですが、これでは、追加の処理があった場合にどれだけの時間がかかるかを示すことはできません。 場所。 このアクセスは継続中であることを覚えておくことも重要です。 Outlook を閉じるだけでは、Microsoft による電子メールへのアクセスを停止することはできなくなりました。 ユーザーは、デスクトップで Outlook にログインしてテストし、気に入らないと判断した場合は、サインアウトせずに Outlook の使用を停止することができます。 ユーザーがサインアウトする (または他の場所でセッションを取り消す) まで、Microsoft はユーザーのデータへの継続的なアクセスを保持します。

データに関する危険な前例

ローカルクライアントにデータ収集を強制するのは行き過ぎかもしれない

データ収集は、結局のところ、好むと好まざるにかかわらず、私たち全員が慣れ親しんだものです。 ただし、ここで Microsoft が透明性のある情報開示を行っていないことと、デスクトップ アプリがユーザーのデータをクラウドに取り込むために便乗していることは懸念されます。 Microsoft が微妙に受け入れたライセンス契約により、ほぼ無制限のデータ収集が許可されています。 生成 AI をトレーニングするための電子メール データの使用を含む、新しい Microsoft ツールの改善または作成 他のツール。

Outlook デスクトップ アプリが排他的にラッパーとして機能するかどうかは、現時点では明らかにされていません。 クラウド サービス、または Microsoft がクラウド内のデータにアクセスする際の制限と状況 雲。 Microsoft による新しいクラウドベースの AI 統合への取り組みの範囲と保証の欠如を考慮すると、 それ以外の場合は、Microsoft がこの種のデータをトレーニングまたはテストに使用していると考えるのが合理的です。 目的。

ここで Microsoft が透明性の高い情報開示を行っていないことと、デスクトップ アプリがユーザーのデータをクラウドに取り込むために便乗していることは憂慮すべきことです。

これは企業にとっても深刻な問題となる可能性があります。 企業のエンド ユーザーは、法規制やセキュリティ要件に違反して、知らず知らずのうちに大量のビジネス データや商業上の機密データへのアクセスを Microsoft に提供する可能性があります。 このデータが、一般に公開されている生成 AI やその他の機械学習モデルのトレーニングに使用された場合、そのデータの一部の側面が公開され、誰でもアクセスできるようになる可能性があります。 これは極端なシナリオですが、どこに懸念があるかは明らかです。

ビジネスのパワーユーザーであっても、ネットワークを監督するシステム管理者であっても、エンドユーザーであっても 新しい電子メール クライアントを探している場合は、サインインした場合のプライバシーへの影響を理解しておくことが重要です。 見通し。 Microsoft は、データをクラウドに同期すると開示しながらも、はるかに長い時間をかけて取り組んでいます。 ユーザーのアクセス範囲とクライアントの役割に応じて、ユーザーが合理的に期待する以上の自由 全て。