🛡 概要
Microsoft Entra IDに存在する脆弱性が、全世界の企業のテナントに対する完全なアクセスを可能にする恐れがあることが明らかになりました。この脆弱性は、CVE-2025-55241として知られ、ドキュメント化されていないトークン「アクタートークン」とAzure AD Graph APIの脆弱性が組み合わさった結果生じています。攻撃者は、ターゲット環境のログには自らの行動しか残らない形で、高度な機密データにアクセスできる可能性があります。
🔍 技術詳細
アクタートークンは、MicrosoftのAccess Control Serviceによって発行され、SharePointアプリケーションとの認証に使用されます。このトークンは署名されておらず、24時間有効で、取り消すことができません。これにより、攻撃者は任意のユーザーとして行動することが可能となり、Azure AD Graph APIを通じて全ての操作を行うことができます。Mollema氏は、テナントのIDを変更してもトークンが有効であることを確認し、他のテナントのデータにアクセスできることを実証しました。これにより、グローバル管理者としての権限を偽装し、ユーザーの管理や設定変更を行うことができました。
⚠ 影響
この脆弱性により、攻撃者は他のテナントのグローバル管理者として行動し、ユーザー管理やパスワードリセット、設定変更など、あらゆる操作を行うことが可能になります。さらに、アクタートークンの生成や使用に関するログが残らないため、攻撃者の痕跡を追跡することが極めて困難です。これは、企業にとって重大なリスクとなり、機密情報の漏洩やサービスの不正利用を引き起こす可能性があります。
🛠 対策
Microsoftは、CVE-2025-55241に対して修正を行い、アクタートークンの使用を内部で見直し、今後のサービス間通信においてはこれを廃止する予定です。企業は、Azure AD Graph APIの使用を早急に見直し、代替手段への移行を進めることが推奨されます。また、ゼロトラストの原則に基づいたアクセス制御を強化し、ユーザーの行動を常に監視することが重要です。これにより、潜在的な脅威を早期に検知し、対策を講じることができます。
