🛡 概要
Microsoft EntraにおけるCVE-2025-55241は、特定の脆弱性を示すもので、顧客の行動を必要としない解決策が提示されています。しかし、この脆弱性の背後には、実際には大きな脅威が潜んでいます。研究者Dirk-jan Mollemaは、Actorトークンと呼ばれる未文書のトークンを利用して、世界中のEntra IDテナントを無防備に侵害できる可能性があることを発見しました。これにより、攻撃者は他のテナントのユーザーに成りすますことができ、特にグローバル管理者の権限を持つユーザーに対しても影響を及ぼすことが可能です。
🔍 技術詳細
この脆弱性は、Microsoftのバックエンドサービス間通信で使用されるActorトークンに関するもので、Azure AD Graph APIの検証の欠陥と組み合わさることで、クロステナントアクセスを可能にしました。Actorトークンはセキュリティポリシーの対象外であり、攻撃者は自分のテナント内でトークンを要求することで、他のテナントの任意のユーザーとして認証できるようになります。これにより、24時間にわたりターゲットサービスに対して誰にでも成りすますことが可能です。この設計はほとんどのセキュリティ制御を欠いており、ログも残さないため、攻撃が発覚することはありません。
⚠ 影響
この脆弱性が悪用されると、攻撃者はEntra IDデータにアクセスし、個人情報やグループ情報、ロール情報、条件付きアクセスポリシー、アプリケーションの権限設定、デバイス情報など、さまざまなデータを取得できる可能性があります。特に、グローバル管理者を偽装された場合、これらのオブジェクトや設定を変更することが可能になり、完全なテナントの侵害が発生するリスクが高まります。このような攻撃は、Microsoft 365内のオブジェクトを変更することも可能であり、ログには正当なグローバル管理者による変更として記録されるため、防御側にとっては発見が難しいといえます。
🛠 対策
Microsoftはこの脆弱性を早急に解決し、CVE-2025-55241を発行しましたが、長期的なリスクに対処するためには、従来のセキュリティツールを超えたプロアクティブな戦略が求められます。Rob Demain氏は、ハイブリッドやマルチクラウドのアプローチを採用することで、同様の脅威を軽減できると提言しています。また、一部のワークロードをオンプレミスに保持し、他を複数のクラウドプロバイダーに分散させることで、特定のベンダーへの依存を減らし、システムリスクを大幅に低下させることができます。
