Entra環境に潜むリスクに注意

Entra IDテナントにゲストユーザーを招待すると、驚くべきリスクを招く可能性があります。

Microsoft Entraのサブスクリプション処理におけるアクセス制御のギャップにより、ゲストユーザーが招待されたテナントにサブスクリプションを作成し、転送することができ、完全な所有権を保持します。

ゲストユーザーに必要なのは、ホームテナントでサブスクリプションを作成する権限と、外部テナントへのゲストユーザーとしての招待です。一度内部に入ると、ゲストユーザーはホームテナントでサブスクリプションを作成し、それを外部テナントに転送し、完全な所有権を保持できます。この隠密な権限昇格の手法により、ゲストユーザーは本来制限されたアクセスしか持たない環境で特権的な足場を得ることができます。

多くの組織は、一時的で制限されたアクセスに基づいてゲストアカウントを低リスクと見なしていますが、この設計通りに機能する動作は、既知の攻撃経路やリソーステナント内での横移動への扉を開きます。これにより、攻撃者は防御側のEntra IDでの不正な偵察と持続性を達成し、特定のシナリオでの権限昇格を進めることができます。

典型的な脅威モデルやベストプラクティスは、特権のないゲストがテナント内で独自のサブスクリプションを作成することを考慮していないため、このリスクは組織の管理外に存在するだけでなく、セキュリティチームのレーダーからも外れている可能性があります。

ゲストユーザーアカウントでEntra IDテナントを危険にさらす方法#

ゲストによるサブスクリプションの足場は、Microsoftの請求権限（エンタープライズ契約またはMicrosoftカスタマー契約）がEntraディレクトリではなく請求アカウントにスコープされているという事実を悪用します。多くのセキュリティチームはAzureの権限をEntraディレクトリロール（例えばグローバル管理者）またはAzure RBACロール（例えばオーナー）として考えます。しかし、見過ごされがちな別の権限セットがあります：請求ロールです。

EntraディレクトリとAzure RBACロールがアイデンティティとリソースへのアクセスに関する権限の管理に焦点を当てている一方で、請求ロールは請求アカウントレベルで動作し、よく理解されているAzureテナントの認証と承認の境界の外に存在します。適切な請求ロールを持つユーザーは、ホームテナントからサブスクリプションを立ち上げたり転送したりして、ターゲットテナント内での制御を得ることができ、Entraディレクトリロールを厳格に監査しているセキュリティチームは、標準のEntra権限レビューでこれらのサブスクリプションを可視化することはできません。

B2Bゲストユーザーがリソーステナントに招待されると、ホームテナントからのフェデレーションを通じてテナントにアクセスします。これはコスト削減の手段であり、その代償としてテナントはMFAのような認証コントロールを強制することができません。そのため、防御側は通常、ゲストの権限とアクセスを制限しようとしますが、ゲストがホームテナントで有効な請求ロールを持っている場合、それを利用してAzure内でサブスクリプションオーナーになることができます。

これは、攻撃者が数分で立ち上げることができる従量課金制のAzureテナントに存在するゲストユーザーにも当てはまります。そして、デフォルトでは、ゲストを含むすべてのユーザーがディレクトリに外部ユーザーを招待することができます。これは、攻撃者が侵害されたアカウントを利用して、適切な請求権限を持つユーザーを環境に招待することができることを意味します。

特権のないEntraゲストアカウントを使用して攻撃者がアクセスを昇格させる方法:#

1. 攻撃者は、サブスクリプションを作成できる請求ロールを持つユーザーまたはテナント内のサブスクリプションのオーナーを制御します。方法は以下のいずれかです：
   1. Azureの無料トライアルを使用して独自のEntraテナントを作成する（サインアップしたユーザーが請求アカウントのオーナーになります）
   2. または、既に特権のある請求ロール/サブスクリプション所有権を持つテナント内の既存のユーザーを侵害する
2. 攻撃者は、ターゲットのEntraテナントにゲストユーザーとして招待されます。デフォルトでは、任意のユーザーまたはゲストがテナントにゲストを招待できます。
3. 攻撃者はAzureポータルにログインし、完全に制御できる自分のホームディレクトリに入ります。
4. 攻撃者は「サブスクリプション > 追加 +」に移動します。
5. 攻撃者は「詳細」タブに切り替え、防御側のディレクトリをターゲットディレクトリとして設定します。
6. 攻撃者はサブスクリプションを作成します。サブスクリプションは攻撃者のテナントには表示されません。代わりに、防御側のテナントのルート管理グループの下に表示されます。
7. 攻撃者はこのサブスクリプションの「オーナー」のRBACロールに自動的に割り当てられます。

現実のリスク: 新しいサブスクリプションで落ち着かないゲストができること#

攻撃者が他の組織のテナント内でオーナー権限を持つサブスクリプションを持つと、そのアクセスを使用して通常は制限された役割によってブロックされるアクションを実行できます。これには以下が含まれます：

• ルート管理グループ管理者のリスト – 多くのテナント構成では、ゲストユーザーはテナント内の他のユーザーをリストする権限を持っていませんが、ゲストサブスクリプション攻撃の後、その可視性が可能になります。ゲストオーナーは、作成したサブスクリプションの「アクセス制御」ロールの割り当てを表示できます。テナントのルート管理グループレベルで割り当てられた管理者は継承され、サブスクリプションのロール割り当てビューに表示されます。これにより、フォローオン攻撃やソーシャルエンジニアリングの理想的なターゲットである高価値の特権アカウントのリストが公開されます。
• サブスクリプションに関連付けられたデフォルトのAzureポリシーの弱体化 – デフォルトでは、すべてのサブスクリプション（およびそのリソース）は、セキュリティ基準を強制し、違反が発生した場合にアラートをトリガーするAzureポリシーによって管理されています。しかし、ゲストがサブスクリプションオーナーになると、サブスクリプションに適用されるすべてのポリシーに対して完全な書き込み権限を持ち、それらを変更または無効にすることができ、疑わしいまたは非準拠の活動を防御側に通知するセキュリティアラートを効果的にミュートすることができます。これにより、セキュリティ監視ツールからの可視性がさらに低下し、攻撃者が悪意のある活動を行ったり、外部システムをターゲットにしたりすることができます。
• Entra IDディレクトリ内でのユーザー管理IDの作成 – サブスクリプションオーナー権限を持つゲストユーザーは、サブスクリプション内でクラウドワークロードにリンクされた特別なAzure IDであるユーザー管理IDを作成できます。このIDは：
  • 元のゲストアカウントとは独立して持続する
  • サブスクリプションを超えた役割や権限を付与される
  • 正当なサービスIDと混ざり合い、検出が難しくなる
  • この管理IDに特権を付与するよう正当な管理者をだますために、ターゲットとなるAPI権限フィッシング攻撃を開始する。
• Microsoft Entraに参加したデバイスの登録と条件付きアクセスポリシーの悪用 – Azureは信頼されたデバイスを登録し、Entra IDに参加させることができます。攻撃者はハイジャックされたサブスクリプションの下でデバイスを登録し、それらを準拠した企業デバイスとして表示させることができます。多くの組織は動的デバイスグループを使用して、デバイスのステータスに基づいて役割やアクセスを自動的に割り当てます（例：「準拠したラップトップのすべてのユーザーがXにアクセスする」）。デバイスを偽装または登録することで、攻撃者は条件付きアクセスポリシーを悪用し、信頼された資産への不正アクセスを得ることができます。これは、ユーザーオブジェクトのターゲティングで以前に見られた既知の動的グループエクスプロイトのデバイスベースのバリアントを表しています。BeyondTrustのIdentity Security Insights製品は、意図せずに隠れた特権への道™を露出する多くの類似した誤設定された動的グループを顧客が発見するのを支援しました。

なぜゲストサブスクリプションの作成がEntraセキュリティにとって増大する懸念なのか#

この更新された脅威モデルの真の影響を理解するためにはさらなる作業が必要ですが、すでにわかっていることは懸念材料です：あなたのテナントにフェデレーションされた任意のゲストアカウントが特権への道を表す可能性があります。このリスクは仮説ではありません。BeyondTrustの研究者たちは、攻撃者が野外でゲストベースのサブスクリプション作成を積極的に悪用しているのを観察しています。この脅威は存在し、活動しており、ここでの真の危険はそれがほとんどレーダーの下にあるという事実にあります。

これらの行動は、ほとんどのAzure管理者がゲストユーザーができると予想することの範囲外にあります。ほとんどのセキュリティチームは、ゲストユーザーがサブスクリプションを作成し制御できることを考慮していません。その結果、この攻撃ベクトルは典型的なEntra脅威モデルの範囲外にあることが多く、この特権への道は認識されておらず、予期されておらず、危険なほどアクセスしやすいものとなっています。

この攻撃ベクトルは、ホームテナントとリソーステナントが異なる組織によって管理されていることが多いB2Bシナリオで非常に一般的です。Entra ID B2Bゲスト機能を活用している多くの組織が、この機能が意図せずに可能にする特権への道を認識していないと私たちは疑っています。

この行動を緩和するために、Microsoftは組織がサブスクリプションポリシーを設定してゲストがサブスクリプションをテナントに転送するのをブロックできるようにしています。この設定は、サブスクリプションの作成を明示的に許可されたユーザーのみに制限し、Microsoftはこの制御をサポートするドキュメント^[2]を公開しています。

このポリシーを有効にすることに加えて、次のアクションを推奨します：

1. 環境内のすべてのゲストアカウントを監査し、不要になったものを削除する
2. 可能な限りゲストコントロールを強化する：例えば、ゲストからゲストへの招待を無効にする
3. テナント内のすべてのサブスクリプションを定期的に監視し、予期しないゲスト作成のサブスクリプションやリソースを検出する
4. Azureポータルのすべてのセキュリティセンターアラートを監視する；可視性が一貫していなくてもいくつかは表示されるかもしれません
5. 特に動的グループルールを利用している場合は、デバイスアクセスを監査する。

防御者を支援するために、BeyondTrust Identity Security Insightsは、ゲストアカウントによって作成されたサブスクリプションをフラグするための組み込みの検出を提供し、これらの異常な行動に対する自動化された可視性を提供します。

BeyondTrust Identity Security Insightsの顧客は、全体のアイデンティティファブリックにわたるすべてのアイデンティティの包括的なビューを得ることができます。これには、Entraゲストアカウントとその真の特権™の統合された理解が含まれます。

大きな視点：アイデンティティの誤設定が新たなエクスプロイトに#

ゲストによるサブスクリプションの侵害は異常ではありません。それは、適切に対処されない場合、現代の企業環境を弱体化させる多くの見過ごされたアイデンティティセキュリティの弱点の顕著な例です。誤設定や弱いデフォルト設定は、環境への隠れた経路を探している脅威アクターにとっての主要なアクセスポイントです。

もはや管理者アカウントだけがセキュリティポリシーに含まれるべきではありません。B2B信頼モデル、継承された請求権、動的ロールは、すべてのアカウントが特権昇格の潜在的な出発点であることを意味します。ゲストアクセスポリシー、可視化ツール、サブスクリプションガバナンスモデルを再検討し、これらの落ち着かないゲストが利点を得る前に対策を講じてください。

ゲストアクセスを通じて導入されたものを含む、環境内の潜在的なアイデンティティベースのリスクのスナップショットを得るために、BeyondTrustは無償のIdentity Security Risk Assessmentを提供しています。

注：この記事は、BeyondTrustのシニアセキュリティリサーチャーであるSimon Maxwell-Stewartによって専門的に執筆および寄稿されています。Simon Maxwell-Stewartは、オックスフォード大学の物理学卒業生であり、ビッグデータ環境で10年以上の経験を持っています。BeyondTrustに参加する前は、医療分野でリードデータサイエンティストとして働き、複数の機械学習プロジェクトを成功裏に生産に導入しました。現在、BeyondTrustのセキュリティ研究チームで「常駐グラフオタク」として働き、グラフ分析の専門知識を活かしてアイデンティティセキュリティの革新を推進しています。