MicrosoftのEntra IDにおける重大な脆弱性は、発見から2年後も広範囲の企業アプリケーションを危険にさらしています。
アイデンティティセキュリティプロバイダーのSemperisは、この脅威に関する新しい発見を6月25日にドイツのハイデルベルクで開催されたTROOPERS25カンファレンスで共有しました。
報告によると、少なくとも15,000のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションが、MicrosoftのEntra IDにおける深刻な認証の欠陥であるnOAuthに対して脆弱であり、アカウントの乗っ取りやデータの流出につながる可能性があるとされています。
nOAuthの脆弱性の説明
2023年6月にDescopeによってクロステナントテストを通じて検出されたnOAuthは、Microsoft Azure ADのマルチテナントOpen Authorization(OAuth)アプリケーションに影響を与える認証実装の欠陥です。OAuthはオープンなトークンベースの認可フレームワークであり、ユーザーが自分のプライベートリソースへのアクセスを他のアプリケーションに許可することができるものです。
OpenID Connect(OIDC)は、OAuth 2.0の上に構築されたアイデンティティレイヤーであり、アプリケーションがユーザーのアイデンティティを確認し、基本的なプロフィール情報を取得することを可能にします。このプロトコルは、JSON Web Tokens(JWT)を使用して、この情報を安全に当事者間で伝達します。
この欠陥は、OpenID Connectの標準における既知のアンチパターンである、未検証のメールクレームをユーザー識別子として許可するEntra IDアプリの設定を悪用します。このシナリオでは、攻撃者はEntraテナントとターゲットのメールアドレスだけで、被害者のSaaSアカウントを乗っ取ることができます。
さらに、従来の保護策である多要素認証(MFA)、条件付きアクセス、ゼロトラストポリシーは、この脆弱性に対して保護することができません。
SaaSベンダーによって未検出
Semperisは、nOAuthの発見から2年後、多くのSaaSアプリケーションが依然としてこの欠陥に対して脆弱であることを発見しました。
同社は、これらの脆弱なアプリが使用されているSaaSアプリケーション全体の少なくとも10%を占めていると推定しており、その数は15万を超えると評価しています。
これは、2025年6月時点で少なくとも15,000の企業SaaSアプリケーションがnOAuthに対して依然として脆弱であることを意味します。
この脆弱性は「SaaSベンダーによって未検出のままであり、何を探すべきかさえ知らない可能性があり、企業の顧客が防御することはほぼ不可能であるため、攻撃者がアカウントを乗っ取り、データを流出させることを可能にしている」と同社は説明しました。
SemperisのチーフアイデンティティアーキテクトであるEric Woodruffは、TROOPERS25で同社の発見を発表しました。彼はこの脆弱性を「深刻」と評価し、攻撃が低複雑で防御が不可能であると述べました。
彼は次のように述べました。「善意の開発者が気づかずに安全でないパターンに従うことは容易であり、多くの場合、何を探すべきかさえ知らないのです。その間、顧客は攻撃を検出または停止する方法がなく、これが特に危険で持続的な脅威となっています。」
nOAuthの脆弱性に対する保護
従来の脆弱性緩和策はnOAuthに対して効果がありませんが、Semperisはいくつかの脅威緩和のための推奨事項を提供しました。これには以下が含まれます:
- SaaSベンダーはnOAuthの悪用を防ぐためにMicrosoftの推奨事項に従うべきです
- 開発者は顧客を保護するために必要な修正を実施すべきです
- 組織はnOAuthの悪用を検出するためにEntra IDとSaaSプラットフォームの両方で深いログ相関を持つべきです
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-noauth-flaw-2025/