アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」 必要な対策とは

Microsoftの「Active Directory」および「Entra ID」（Azure AD）は、「nOAuth」という脆弱性によりアカウントの乗っ取りリスクを抱えている。

[後藤大地，有限会社オングス]

　CrowdStrikeは2023年7月14日（現地時間）にブログを更新し、サイバー攻撃者が「nOAuth」という脆弱（ぜいじゃく）性を使ってMicrosoftの「Active Directory」および「Entra ID」（旧「Azure Active Directory」〈Azure AD〉）のアカウントを乗っ取る可能性があると伝えた。

nOAuth Microsoft Azure AD Vulnerability｜CrowdStrike（出典：CrowdStrikeのWebサイト）

アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」　必要な対策とは

　Active DirectoryとEntra IDはMicrosoftにおけるID管理の中核を担う製品だ。これらのソリューションは、電子メールアドレスを識別子として利用しており、ドメインの所有権を検証せずに任意のメールアドレスをユーザーアカウントにマッピングできてしまう脆弱性「nOAuth」を抱えている。

　CrowdStrikeの発表によれば、Microsoftは既に対応を進め、緩和策を施しているという。しかし、Microsoftの開発者が正式にアプリケーションのコードを変更するまでその緩和策は機能しない。CrowdStrikeはこの問題への現実的な解決策として、他のセキュリティソリューションやID管理ソリューションの保護機能を併用し、リスクを低減することを提案している。

　Active Directoryは長期に渡ってID管理の中心的存在であり、企業がクラウドを利用し始めてからはEntra IDも広く使われている。Microsoftは先日、Azure ADの名称をMicrosoft Entra IDに変更したばかりだが、仕組みは変わっていない。

　CrowdStrikeは「nOAuthを回避するにはそもそもIDとして電子メールアドレスが使われている現状を変更する必要があるが、実施するのは簡単ではない。現実的な解決策として、対応が進むまでセキュリティソリューションを併用してアカウント乗っ取りなどに対応することが重要だ」としている。