Microsoft は、2026 年 10 月中旬から下旬にかけて、外部からのスクリプトインジェクション攻撃に対する Entra ID 認証システムのセキュリティ強化を行う予定です。
この更新では、強化されたコンテンツ セキュリティ ポリシー (CSP) が実装され、サインイン時に Microsoft が信頼するコンテンツ配信ネットワーク (CDN) ドメインからのスクリプトのダウンロードと、Microsoft が信頼するソースからのインライン スクリプトの実行のみが許可されます。
展開後は、攻撃者がウェブサイトに悪意のあるコードを注入して認証情報を盗んだりシステムを侵害したりするクロスサイト スクリプティング攻撃など、さまざまなセキュリティ リスクからユーザーを保護します。
この更新ポリシーは、login.microsoftonline.com で始まる URL のブラウザー ベースのサインイン エクスペリエンスにのみ適用され、Microsoft Entra External ID には影響しません。
「この更新によりセキュリティが強化され、認証中に Microsoft が信頼するドメインからのスクリプトのみが実行されるようになることで、サインイン エクスペリエンス中に不正または注入されたコードが実行されるのを防ぐ、追加の保護レイヤーが提供されます」と、Microsoft Identity and Authentication Experiences のプロダクト マネージャーである Megna Kokkalera 氏は述べています。
Microsoft は組織に対し、2026 年 10 月の期限までにサインイン シナリオをテストし、コードインジェクション ツールへの依存関係を特定して対処するよう促しています。
IT 管理者は、ブラウザーの開発者コンソールでサインイン フローを確認することで、潜在的な影響を特定できます。違反はブロックされたスクリプトの詳細とともに赤いテキストで表示されます。
Microsoft はまた、エンタープライズ顧客に対し、この変更が有効になる前に、サインイン ページにコードやスクリプトを注入するブラウザー拡張機能やツールの使用を中止するよう助言しています。これらは今後サポートされなくなり動作しなくなりますが、ユーザーは引き続きサインインすることは可能です。
「このコンテンツ セキュリティ ポリシーの更新により、不正なスクリプトをブロックする追加の保護レイヤーが加わり、進化し続けるセキュリティ脅威から組織を保護するのにさらに役立ちます」と Kokkalera 氏は付け加えました。
この取り組みは、米国国土安全保障省のサイバー安全審査委員会 (Cyber Safety Review Board) による報告を受けて、2023 年 11 月に開始された Microsoft の全社的な取り組みである Secure Future Initiative (SFI) の一環です。同報告書は、同社のセキュリティ文化が「不十分であり、抜本的な見直しが必要」と指摘しました。
同じイニシアチブの一環として、Microsoft はまた、レガシ認証プロトコル経由での SharePoint、OneDrive、Office ファイルへのアクセスをブロックするようにMicrosoft 365 のセキュリティ既定値を更新し、Microsoft 365 および Office 2024 アプリの Windows 版ですべての ActiveX コントロールを無効化しました。
今月初めには、会議中の画面キャプチャ試行をブロックすることを目的として 5 月に発表された、新しい Teams 機能のロールアウトも開始しました。
