- アクタートークンにより、ログやセキュリティチェックなしでテナント間のなりすましが可能だった
- CVE-2025-55241は、非推奨のAzure AD Graph APIを通じてグローバル管理者アクセスを可能にした
- Microsoftは2025年9月にこの脆弱性を修正、アクタートークンとGraph APIは段階的に廃止されている
セキュリティ研究者は、Microsoft Entra IDに重大な脆弱性を発見しました。この脆弱性により、攻撃者が事実上あらゆるテナントのグローバル管理者アクセスを取得でき、しかも一切検知されない可能性がありました。
この脆弱性は2つの要素から成り立っています。1つは「アクタートークン」と呼ばれるレガシーサービス、もう1つはCVE-2025-55241として追跡されている重大な権限昇格バグです。
アクタートークンは、Microsoftのサービスでテナント間のユーザーなりすましに使われる、非公開かつ署名のない認証トークンです。これらはAccess Control Service(ACS)というレガシーシステムによって発行され、もともとはサービス間(S2S)認証のために設計されていました。
非推奨化と段階的廃止
この脆弱性を発見したセキュリティ研究者Dirk-jan Mollemaによると、これらのトークンは標準的なセキュリティ制御を回避し、ログも残らず、24時間有効であるため、不正アクセスが検知されずに悪用される可能性がありました。
Mollemaは、公開されているテナントIDとユーザー識別子を使ってなりすましトークンを作成することで、他組織の環境で機密データへのアクセスや管理者操作ができることを実証しました。
これらの操作には、ユーザーの作成、パスワードのリセット、設定の変更などが含まれており、被害テナントには一切ログが残りませんでした。
「自分が間違っていないか確認するために、アクセスできるいくつかのテスト用テナントでも試しましたが、やはり他のテナントのデータにアクセスできました。そのテナントのID(これは公開情報です)と、そのテナント内のユーザーのnetIdさえ知っていれば可能でした」とMollemaは説明しています。
判明したところによると、Azure AD Graph API(段階的に廃止されている非推奨システム)は、あるテナントからのトークンを別のテナントに適用できてしまい、条件付きアクセス制御や標準的な認証チェックを回避していました。
Mollemaはこの問題をMicrosoftに報告し、Microsoftは2025年7月中旬にこれを認識、2週間以内に修正しました。CVE-2025-55241は深刻度10/10(クリティカル)と評価され、正式には9月4日に対応されました。
Azure AD Graph APIは非推奨となり、Microsoftが「内部で使用される高権限アクセス」メカニズムと呼ぶトークンも段階的に廃止されています。
