Microsoft Entra IDの新しく導入されたAgent Identity Platformで深刻なセキュリティ脆弱性が発見され、エンタープライズ環境での特権エスカレーションのリスクに関する懸念が高まっています。
この欠陥により、Agent ID管理者ロールを持つユーザーが、組織のテナント全体の任意のサービスプリンシパルを制御することが可能でした。
このロールはAIエージェント識別情報の管理を目的としていましたが、権限の範囲設定に不備があったため、設計より広いアクセスが可能になっていました。Microsoftはその後、すべてのクラウド環境でこの問題にパッチを適用しました。
サービスプリンシパルは、認証、権限の取得、エンタープライズリソースへのアクセスを行うため、重要です。
この問題は、EntraのAIエージェント識別情報がサービスプリンシパルと同じインフラストラクチャ上に構築されていることが原因でした。
この共有アーキテクチャはスコープギャップを作成し、Agent ID管理者ロールが非エージェントサービスプリンシパルと相互作用することを可能にしました。
これにより、攻撃者は対象となる識別情報とその権限に対する完全な制御を得ることができました。
サービスプリンシパルは、次のような重要なエンタープライズシステムを動かしていることが多いです:
ハイジャックされたサービスプリンシパルがMicrosoft Graphアクセスや管理者ロールなどの昇格された権限を保持している場合、攻撃者はそれらの権限に即座にアクセスできます。
特に、この脆弱性は高レベルのアプリケーションオブジェクトの修正を許可していなかったため、その影響範囲は限定的でした。しかし、サービスプリンシパル単独への影響でも、重大なセキュリティリスクとなる可能性は十分あります。
研究者によって指摘されたもう1つの問題は、Entraインターフェース自体でした。
Agent ID管理者ロールは特権として明確にラベル付けされていなかったため、管理者が適切な検査なしにそれを割り当てる可能性が高まりました。
この可視性の欠如は、実環境でのロールの潜在的な悪用に一役買いました。
2026年2月の責任ある開示に続き、Microsoftが問題に対処し、2026年4月9日までにフィックスをロールアウトしました。
アップデートにより、Agent ID Administratorロールが非エージェントサービスプリンシパルの所有権を変更できなくなりました。
組織はリスクを軽減するために以下のステップを取るべきです:
この事件は、AIエージェントのような新しい識別情報レイヤーが導入される際に、意図しない特権エスカレーションパスを防ぐために、セキュリティ境界を慎重に強制する必要があるという、より広い課題を浮き彫りにしています。
翻訳元: https://cyberpress.org/hackers-can-abuse-agent-id-administrator-role-to-hijack-service-principals/
