Entra IDの脆弱性がクラウドID信頼モデルのギャップを露呈、専門家が警告

セキュリティ研究者らは、Microsoft Entra ID（旧Azure Active Directory）における最大深刻度の脆弱性について警告している。この脆弱性は、攻撃者がMFA（多要素認証）や条件付きアクセスを回避し、通常のログインや監査記録を残すことなく、あらゆるテナントの任意のユーザー（グローバル管理者を含む）になりすますことを可能にする可能性がある。

「この脆弱性は、レガシーAPIがActorトークンのテナントソースを検証しなかったために発生しました」とMitigaの研究者はブログ記事で述べている。「グローバル管理者になりすました後は、新しいアカウントの作成や自分自身への権限付与、機密データの持ち出しが可能になります。」

このバグはCVE-2025-55241として追跡されており、7月にMicrosoftに報告された。数日後、修正が開発され、グローバルに適用されたことが確認された。

すべてを支配する一つのトークン

Mitigaによれば、ActorトークンはターゲットユーザーのTenant IDやnetIDの値を使って作成でき、これらはゲストアカウントや漏洩したログ、あるいは総当たり攻撃によって取得可能である。作成された（リクエストされた）Actorトークンは、Azure AD Graphがソースを精査しないため、グローバル管理者になりすますために利用できた。

修正は完了、それでもリスクは残る

CVE-2025-55241は当初、最大ベース深刻度スコア10.0（10点満点）とされていたが、Microsoftは9月4日にアドバイザリを改訂し、独自の悪用可能性評価を反映して8.7に引き下げた。

Microsoftは最初の報告から数日以内にグローバルで修正を展開し、社内テレメトリでもその時点まで悪用の証拠は確認されなかったと付け加えた。この修正により、Azure AD Graph APIへのリクエストでActorトークンの取得がブロックされ、なりすまし経路を封じる追加の対策も導入された。

さらに、同社は自社環境から安全でないレガシーな慣行を排除することについてブログを公開したが、Mollemaは多くのサービスでこれらのトークンが今も使われているかどうかの詳細がなかったと指摘している。「この脆弱性はすでにMicrosoftによって完全に緩和されています」とMicrosoftはアドバイザリで述べている。「このサービスの利用者が取るべき対応はありません。」

Mitigaのチームは、この問題がクラウドIDシステムの奥深くに潜む信頼のリスクという、より広範なカテゴリを浮き彫りにしていると強調する。「Microsoftは修正しましたが、過去に利用されたかどうかを確認する手段がないため、防御側は依然として確信が持てません」とチームは付け加えた。「この不確実性こそが問題です。攻撃者は見えない経路を探し続けます。防御側は、攻撃前・攻撃中・攻撃後のすべての段階で可視性を確保する必要があります。」