責任ある情報開示の強みは、問題が実際に悪用される前に解決できることです。しかし、その弱点は、ベンダーに偽りの安心感を与えてしまう可能性があることです。
9月4日、MicrosoftはAzure Entraの権限昇格の脆弱性に対してCVE-2025-55241を適用し、「このCVEで文書化された脆弱性は、解決のためにお客様による対応は不要です」と記載しました。単純な問題が責任を持って開示され、迅速に解決され、心配することは何もないように見えます。
しかし、これははるかに大きな脅威を覆い隠しています。数か月前、Dirk-jan Mollema氏は、世界中のあらゆるEntra IDテナント(おそらくナショナルクラウド展開を除く)を、侵入の痕跡を一切残さずに侵害できる脆弱性を発見していました。もしこの脆弱性が敵対的な国家によって発見されていたら、その被害は世界的に甚大なものとなっていたでしょう。
Mollema氏は、Microsoftがバックエンドのサービス間通信で使用している未公開のなりすましトークン(アクタートークン)と、Azure AD Graph APIの検証の不備を組み合わせました。この2つにより、未公開のトークンを使ったテナント間アクセスが可能になっていました。
これらのアクタートークンはセキュリティポリシーの対象外でした。Mollema氏がブログ記事で説明しているように、攻撃者が自分のテナント内でアクタートークンの発行に成功すると、「他のどのテナントのユーザー、グローバル管理者を含む、になりすまして認証できる」状態でした。
一度作成されたアクタートークンは、リクエストされた対象サービスに対して24時間、誰にでもなりすますことができました。「個人的な意見ですが」と彼は書いています。「このアクタートークンの設計自体、そもそも存在すべきではなかったと思います。望まれるセキュリティコントロールがほとんど欠如しています。」
アクタートークンのリクエストは記録されませんでした。存在自体の記録もありませんでした。Azure AD Graph APIにはAPIレベルのログもありません。そのため、不可視の攻撃者がターゲットテナントに侵入しても、Entra IDのユーザー情報、すべての個人情報、グループやロール情報、テナントの条件付きアクセス ポリシー、アプリケーションの権限割り当て、デバイス情報やEntra IDに同期されたBitLockerキーなどにアクセスできてしまいます。
「グローバル管理者になりすました場合、上記のオブジェクトや設定を変更することも可能です。これにより、Entra IDを認証に利用するあらゆるサービスへのアクセスを伴う、テナント全体の完全な侵害が発生します…」とMollema氏は述べています。
広告。スクロールして続きをお読みください。
データにアクセスするだけならログは一切残りません。グローバル管理者になりすましてオブジェクトを変更した場合、Microsoft 365内などではログが残りますが、そのログは正当なグローバル管理者による変更として記録され、防御側にとっては警告の赤信号にならない可能性があります。
Mollema氏は2025年7月14日に直ちにMicrosoft Security Response Center(MSRC)に発見を報告しました。MSRCは同日にケースを開設。7月15日には影響の詳細をさらに報告し、MSRCはそれ以上の調査を中止するよう要請しました。7月23日、MSRCは問題が解決されたことを確認。8月6日までに、MSRCはAzure AD GraphでSP認証情報によるアクタートークン発行を防ぐ追加の緩和策を展開しました。
そして2025年9月4日、MicrosoftはCVE-2025-55241を発行し、例の一文を含めました:「このCVEで文書化された脆弱性は、解決のためにお客様による対応は不要です。」これは事実かもしれません。そしてMollema氏の責任ある情報開示は称賛されるべきであり、Microsoftの迅速な対応も評価されるべきです。
Mollema氏もMicrosoftも、この脆弱性が攻撃者に利用された証拠は見つからなかったと述べています。つまり「終わりよければすべてよし」と言えるかもしれません。しかし、この一連の流れは不都合な現実を覆い隠しています。サイバーセキュリティは「フライ・バイ・ワイヤ」(遠隔操作)なのです。グローバルなサイバーセキュリティの生態系は、私たちの知らないところで研究者やベンダーが行う作業に依存しています。彼らが何を発見し、解決したのか私たちは多くを知りませんし、同時に何を見逃したのかも分かりません。
「この事件は、最大手のプロバイダーでさえ欠陥から無縁ではないこと、そして長期的かつ検知困難なリスクには従来のセキュリティツールを超えた積極的な戦略が必要であることを思い出させてくれます」とe2e-assureのCEO、Rob Demain氏はコメントしています。彼の提案は、ハイブリッドまたはマルチクラウドのアプローチが同様の脅威を軽減できるというものです。「一部のワークロードをオンプレミスに残し、他を複数のクラウドプロバイダーに分散することで、単一ベンダーへの依存を減らし、システミックリスクを大幅に低減できます。」