【情報流出】格安のOffice365を絶対に購入してはいけない理由【Microsoft365】 

PC
2020.07.03

皆さんは「Office 365」というサービスはご存知ですか?最近では「Microsoft 365」という名称に変更されたため、こっちの名前で憶えている人もいるかもしれません。

このMicrosoft 365ですが、個人向けに提供されているのはMicrosoft 365 Personal(旧称 Office 365 Solo)というサブスクリプションモデルのサービスで、年額約12000円もしくは月額約1200円のプランを選ぶことができます。

しかし、海外サイトやヤフオク・メルカリ等のサイトで「無期限版」「Lifetime版」等と称して数百円~数千円で、永久に使えるMicrosoft 365が売買されています。年間12000円かかるサービスを数百円で永遠に使えるって、文字通り激安ですよね。

でもこれには裏があります。
格安のWindowsやOfficeとは比べ物にならないデメリットが存在しているのです。

この記事では、実際に格安Office365を購入して試した私が、格安Office365の仕組みを説明し、何故危険なのか解説します。

2021/04/11追記:実は実際の情報流出に遭遇して大変危険だと感じたので本記事を書いたいう経緯があります。私が巻き込まれた情報流出インシデントについて以下の記事にまとめたので、興味があれば読んでみてください。

本当にあった格安Office365の情報流出の話
昨年、私は以下の記事を書きました。ヤフオクやメルカリで取引されている格安Office365(Microsoft365)の...
travel-world.tokyo
2021.04.11

格安で販売されているOffice 365の種類

冒頭でもお伝えした通り、個人向けのMicrosoft 365はMicrosoft 365 Personal(旧称 Office 365 Solo)というサービスです。しかし、格安版については、この個人用サービスではなく、法人向けである以下の2種類のサービスが主に取引されています。

・Office 365 for Education A1
・Office 365 for Enterprise E3

Office 365 for Education A1

Office 365 for Education A1とは、教育機関であれば無料でサービスを受けられるプランです。プランの主な内容は以下の通りです。

Office 365 for Education A1
  • メール(ExchangeOnline)
  • OneDrive/SharePointOnline
  • ブラウザ版Office
  • Teams

このプランは、「ac.jp」等の教育機関のドメインを所有していることを証明できれば、サービスを受けることのできるアカウントをほぼ無制限に発行することができます。

本来、教育機関用のドメインを簡単に入手することはできません。当然「ac.jp」や「ed.jp」といったドメインは審査が厳しく、教育機関以外が入手することはできませんが、「○○.jp」以外、つまり他国のドメインならどうでしょう?実は国によっては審査が緩いのか内通者がいるのか、教育機関用のドメインを取得する方法があるらしいのです。

このようにして取得された教育機関用ドメインを使ってOffice 365 for Education A1を申請し、大量に作成されたアカウントをヤフオクやメルカリで販売しているというわけです。

ただ一部、実際に存在する教育機関から発行されているアカウントを転売しているとみられるケースも確認しています。システム管理者がお金儲けのために悪だくみに加担しているということですね。

でも、このプランには大きな欠点があります。もう気づいておられる方もいると思いますが、ブラウザ版のOfficeしか使えないのです。普通のOfficeが使えないって結構なデメリットですよね。そのため、Office 365 for Enterprise E3の転売が増えるようになってからは、Office 365 for Education A1の転売は減ったのではないかと思います。

Office 365 for Enterprise E3

Office 365 for Enterprise E3はビジネス向けのプランで、主な内容は以下の通りです。

Office 365 for Enterprise E3
  • メール(ExchangeOnline)
  • OneDrive/SharePointOnline
  • Office ProPlus(PC・Mac・タブレット・スマホ対応)
  • Teams

すごく簡単に言うと、Office 365 for Education A1に普通のOfficeが付いたと考えてください。更に、Office2016やOffice2019を買ったような場合と違い、Windows or MacのPCに5台、スマホに5台、タブレットに5台、計15台までOfficeをインストールして利用する権利が与えられます。これが個人向けのMicrosoft 365 Personalに一番近いプランであり、一番人気があるプランでもあります。

ただしこのプラン、1か月にに2170円もかかります。そんなプランをヤフオクやメルカリでは数百円~数千円で無期限で使えると宣伝して販売しています。一体どのようなカラクリがあるのでしょうか。

これはあくまで私が調べた範囲での話ですが、中国のOffice365には「Office 365 E3 for Symphony」という実質的な包括ライセンスが存在し、350万アカウントまで発行できるようなのです。このプランを悪用し、アカウントをほぼ無制限に発行して転売を繰り返している、というのが現時点での私の推測です。

これはOffice365に詳しい人ほど疑わしく聞こえる話なのですが、別にそこまでおかしな話ではなく、まず中国のOffice365はMicrosoftの直営ではなく「21Vianet」という企業が運営しています。そのためグローバル版にないプランがあってもおかしくないですし、実際に「Office 365 E3 for Symphony」の画像が出回っています。ただ英語での情報はほぼないに等しく、私が中国語が分からないということもあってなかなか詳しい情報が掴めてないというのが実情です。どういう企業を対象にしたプランなのか、分かる人がいたらコメント欄等で教えていただければ幸いです。

以下のような記述を見つけたのですが、それらしき会社がShanghai Symphony Telecommunication (上海信天通信有限公司)というAT&T絡みの会社しか見つからず、Office365との関係が不明な状況です…

最高可达到350万用户,是微软对Symphony通信平台的合作伙伴的注册链接,SKU标记是ENTERPRISEPACK

格安アカウントの危険性について

では、何故これらのアカウントが危険なのでしょうか。ポイントは個人向けのOffice365と法人向けのOffice365の違いにあります。

個人向けと法人向けのOffice365の違い

これが個人向けのOffice365です。個人向けの場合、Office365というサービス上に、各ユーザーが個々で独立して存在しています。

次が法人向けのOffice365です。法人向けのOffice365では、個々のユーザーは必ずどこかの組織に属することになります。これは今回取り扱っている格安Office365も同様です。

そしてOffice365で組織に属している場合、次のような危険を孕んでいます。

管理者による情報閲覧の危険性

Office365の組織には必ず「管理者」が存在します。Office365の管理者は他人のユーザーのパスワードを管理者の好きなパスワードにリセットすることができます。これであなたのアカウントにログインし放題です。

そもそも、そんなことしなくても管理者は他人のメールやOneDriveにアクセスすることができます。

これが自分の所属している会社や学校であれば問題ありません。管理者を信用してサービスを使うわけです。でも格安Office365では、管理者はどこの国の人間なのかも分からない見ず知らずの他人です。

会社の情報を間違えてOffice365に上げてしまった?急いで消しても、サービスによってはゴミ箱に入っただけだったり、管理者が復元できたりします。

そもそも、Office365上からデータを削除できたとしても決して安心することはできません。管理者であれば、「Veeam Backup for Microsoft Office 365」等のソリューションを使ってOffice365全体のバックアップをローカルに保存することができるからです。

販売元に掛け合うのも無駄でしょう。販売元はアカウントを仕入れて転売してるだけで、アカウントを発行している管理者ではない可能性が大です。

同一組織内のユーザーによる情報閲覧の危険性

個人向けのOffice365にはなく、法人向けのOffice365にある機能で、SharePointOnlineという機能があります。これはOneDriveと同じようにクラウド上にデータを保存できるシステムですが、OneDriveと違って共有フォルダのような働きをする機能になっています。

これが同じ社内や学校内であれば大きな問題にはなりません。会社の情報だったり、課題の結果をアップロードしても、その情報を見れるのは同じ会社/学校の人だけだからです。

でも格安のOffice365は違います。同じ組織に所属しているのは世界中の赤の他人です。間違えてデータをアップロードしてしまうと、組織内の他の全ユーザーにデータを見られる可能性があります。

実際、私が購入したOffice365のアカウントの組織でも同様の事例がありました。今は管理者が気付いたのか全て削除されていますが、英語や韓国語、中には日本語のドキュメントも誤ってアップロードされていました。OneDriveの同期ツールでSharePointとも同期できるので、それで意図せず自分のPCのフォルダをSharePointにアップロードしてしまうこともあるようです。

管理者により勝手にデータを見られる危険性がある

他のユーザーに向けて誤ってデータを公開してしまう危険性がある

購入してしまった場合

では購入してしまった場合、どうすればいいのでしょうか。本当はアカウントを削除できればいいのですが、管理者が対応してくれるとは思えません。

そのため、まずはOneDriveやSharePoint等のデータを消し、ゴミ箱や第2段階のゴミ箱からもデータを削除するようにしましょう。第2段階のゴミ箱参考

次にOffice365にサインインしているすべてのデバイス/サービスからサインアウトします。ただし、抜け漏れがあると困るので、最後にアカウントのパスワードを変更しておくと良いでしょう。サインアウトを忘れていたデバイス/サービスがあっても、変更したパスワードを入力しない限りはサインインできないからです。

Office365上のデータの削除

すべてのデバイス/サービスからのサインアウト

最後に

格安Office365の背後にいるのは中国人です。中国人同士でノウハウを共有しあって、世界中の人間に格安Office365を売りつけています。

人種差別をするつもりはありませんが、その中国人たちが見つけた重要なデータを何に使うか分かりません。結果的に情報を流出させるようなインシデントを起こしてしまった場合、最悪人生詰みます。

MSが対応してくれれば嬉しいのですが、通報や問い合わせをしても、現時点でまともに対応してくれる気配はありません、、、(中国版Office365だから関わりたくない?)

なので、自分の身を守るためにも、目先の損得に囚われず、絶対に格安Office365を購入しないようにしてください。

コメント

タイトルとURLをコピーしました