Source: https://thehackernews.com/2025/06/noauth-vulnerability-still-affects-9-of.html
🛡 概要
最近の調査により、MicrosoftのEntra IDにおける既知のセキュリティ脆弱性によるリスクが依然として存在し、悪意のある攻撃者がソフトウェア・アズ・ア・サービス(SaaS)アプリケーションを標的にできる可能性が示されています。アイデンティティセキュリティ企業のSemperisは、104のSaaSアプリケーションを分析した結果、9つのアプリがEntra IDのクロステナントnOAuthの悪用に対して脆弱であることを発見しました。この脆弱性は、2023年6月にDescopeによって初めて公表されました。
🔍 技術詳細
nOAuthは、SaaSアプリケーションがOpenID Connect(OIDC)を実装する方法に関連する脆弱性を指します。OIDCはOAuthの上に構築された認証レイヤーであり、ユーザーのアイデンティティを確認するために使用されます。この実装上の欠陥により、攻撃者はEntra IDアカウントのメール属性を犠牲者のものに変更し、アプリの「Microsoftでログイン」機能を利用してアカウントを乗っ取ることが可能です。特に、Entra IDが未確認のメールアドレスを許可しているため、テナント間のユーザーの偽装が容易になります。また、複数のアイデンティティプロバイダーを使用しているアプリでは、攻撃者がターゲットユーザーのアカウントにサインインできる可能性があります。Semperisは、nOAuthの変種に焦点を当て、Entra IDのクロステナントアクセスを可能にするアプリケーションを特定しました。
⚠ 影響
nOAuthの悪用は、多くの組織が直面する深刻な脅威です。この攻撃は手軽で、ほとんど痕跡を残さず、エンドユーザーの保護をバイパスすることができます。成功した攻撃者は、SaaSアプリケーションのデータにアクセスできるだけでなく、Microsoft 365リソースへのピボットも可能です。Semperisは、2024年12月にMicrosoftに調査結果を報告し、これによりWindowsメーカーは2023年に発表した推奨事項を再確認しました。これに従わないベンダーは、Entraアプリギャラリーからアプリが削除されるリスクがあります。
🛠 対策
nOAuthの悪用を防ぐためには、開発者が適切に認証を実装し、アカウントの乗っ取りを防ぐためにユニークで不変のユーザー識別子を作成することが重要です。nOAuthの悪用はクロステナントの脆弱性を利用し、SaaSアプリケーションデータの流出や持続性、横移動を引き起こす可能性があります。脆弱なアプリケーションの顧客にとって、この悪用を検出することは困難であり、防御することは不可能です。攻撃者の活動を防ぐためには、最小権限の原則に従い、コンテナの設定を適切にスコープし、悪意のある行為者による悪用の機会を最小限に抑えることが必要です。
