マルウェア解析環境を作り直している際にOutlook2016で落とし穴があったので事象と回避方法を共有します。
事象
Outlook2016では起動時にユーザアカウントの設定が必須となっており、この設定を行わなければメイン画面に入ることができない。
マルウェア解析するときは、メール添付されたファイルの解析を行うことが非常に多いため、Outlookでeml/msgファイルを開封することが必須の要件となっている(わたしにとって)
↓起動時に必ずこのウィンドウが出現してしまう。(スキップできない)
一般的な回避策
方法1.引数をいれてポップアップスキップ
マイクロソフトの公式FAQによると、引数を指定することで回避が可能だとしている。
[実行] ウィンドウで Outlook.exe /PIM を入力し、[ OK]をクリックします。 メールアカウントなしで Outlook に新しいプロファイルが作成されます。 次に、Outlook を使用して、連絡先、タスク、予定表の情報を保存することができます。
が、私の環境では「Microsoft Outlook を起動できません。コマンドラインの引数が正しくありません。使用しているスイッチを確認してください。」のエラーで実行できなかった。
方法2.レジストリにキーを新規作成
下記のレジストリキーを登録する
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\setup
DisableOffice365SimplifiedAccountCreation = 1
→反映されるときとされないときがあり設定が安定しなかった(原因不明)
回避策(自己流)
いろいろググってやってみたのですがどれもうまくいかず、
最終的に「Fakednsとinetsimを立ち上げて架空のメールアドレスの登録をする」という荒業で試しました。
fakednsとinetsimを利用した回避手順
1)fakenetとinetsimを構築して、Windowsマシンを向ける
具体的には下記のブログで書かれているような構成にしています。
2)Outlookを起動し、実在しない適当なユーザアカウントを設定する
3)ユーザアカウントが登録され、Outlookを起動させることができる
おまけ:他に試したこと
1)あらかじめユーザなしのプロファイルを作成し、そのプロファイルを指定して実行
→ポップアップが同様に出てしまってだめ
2)特定のemlファイルだけを指定して開けるか試す
OUTLOOK.EXE /p {test.eml}
→エラーが出現してしまいNG
3)過去のバージョンのpstを移行して使う
→これはやろうとしましたが上記の方法で解決したので実際には試していません。
1のプロファイル作成と似たような方法になるのでうまくいかない予感はする。
なんかニッチすぎて誰の役にも立たなそうな気はしますが備忘録として書きました!
以上。