M365とGoogleの連携に潜むリスク「G-Door」 多要素認証を回避する手口とは：セキュリティニュースアラート

Prof-IT ServicesはMicrosoft 365と未管理Googleアカウントに関する脆弱性「G-Door」を報告した。この脆弱性はMicrosoft 365の条件付きアクセスや多要素認証を回避できるという。

[後藤大地，有限会社オングス]

　Prof-IT Servicesは2024年12月23日（現地時間）、「Microsoft 365」および管理されていない「Google アカウント」に関連するセキュリティリスクが存在することを発表した。

　この脆弱（ぜいじゃく）性は「G-Door」と名付けられ、「Google ドキュメント」を使ってMicrosoft 365のセキュリティを回避できるとされている。

M365とGoogle アカウントの連携に目を付けた攻撃G-Doorに注意　そのリスクは？

　G-DoorはMicrosoft 365とGoogle アカウントの相互作用を悪用する脆弱性だ。組織のドメイン名で作成された未管理のGoogle アカウントを介して、Microsoft 365の条件付きアクセス（CA）ポリシーや多要素認証（MFA）といった主要なセキュリティ対策をすり抜ける。

　具体的には攻撃者は企業ドメインを使用してGoogle アカウントを作成し、それを介してMicrosoft 365環境にアクセスできるようになる。

　この脆弱性によってもたらされる主なリスクは以下の通りだ。

• 条件付きアクセスの回避：　未管理のGoogle アカウントを使って多要素認証やデバイスのコンプライアンスチェックを回避でき、不正アクセスの可能性が高まる
• 可視性の欠如とインシデント対応の困難：　管理されていないGoogle アカウントの活動は「Microsoft 365管理センター」のログには表示されず、異常なサインインの発見が困難となる
• データ保護の欠如：　「Google ドライブ」の機密データはMicrosoft 365のデータ保護ポリシーの対象外となり、漏えいリスクが増大する
• 持続的な不正アクセス：　アカウントが侵害された場合、攻撃者がGoogle アカウントを通じて永続的なアクセスを維持できる
• サードパーティーアプリの無制限登録：　Google アカウントを利用することで企業が制御するアプリケーションリストを回避し、外部サービスにアクセス可能となる

　この脆弱性に対する主な緩和策は以下の通りだ。

• 「Google Workspace」管理下への統一：　全従業員をGoogle Workspaceに登録し、個人アカウントや管理されていないエイリアスを排除する
• テナント固有のSSO導入：　サードパーティーアプリの認証をテナント固有のものに限定し、セキュリティ体制を強化する
• Exchangeルールの活用：　Google Workspaceへの無許可のサインアップを防ぐため、確認メールを企業メールサーバでブロックする
• 従業員教育の強化：　未管理のGoogle アカウント使用に伴うリスクを従業員に認識させる
• オフボーディングプロセスの見直し：　退職者のアカウントを徹底的に管理し、不正なID使用を排除する

　Prof-IT ServicesはGoogleなどのIDプロバイダーやサードパーティーアプリケーションプロバイダーに対してドメインベースのサインアップの際に適切な制限と堅牢（けんろう）なドメイン検証を実施することを強く推奨している。