Microsoft Entra IDに潜む特権昇格リスクに要注意 推奨対策は？：セキュリティニュースアラート

DatadogはMicrosoft Entra IDにおける高権限アプリケーションの不適切な構成が特権昇格に悪用される攻撃手法を明らかにした。サービスプリンシパルとドメイン設定権限を通じてSAMLトークンを偽造し、認証をバイパスできるという。対策はあるか。

[後藤大地，有限会社オングス]

　Datadogは2025年7月16日（現地時間）、「Microsoft Entra ID」（以下、Entra ID）における特権昇格につながる可能性のある攻撃手法を発表した。サービスプリンシパル（SP）とドメイン設定の権限を悪用することで攻撃者がハイブリッドユーザーを装い、グローバル管理者として認証される恐れがある。

Entra IDに設定ミスに起因する特権昇格のリスク　推奨対策は？

　この手法は、Microsoft公式のアプリケーションに関連付けられたSPが、Entra IDのドメイン設定にアクセス可能な権限（Domain.ReadWrite.All）を保持している場合に発生する。攻撃者が「Application Administrator」ロール、もしくは「Application.ReadWrite.All」といった高権限を持つアプリケーションのSPを乗っ取った場合、そのSPを利用してEntra IDに新たなフェデレーションドメインを追加できる。このフェデレーションドメインには、攻撃者が管理する証明書を設定できる。

　このような構成が実行された場合、攻撃者は証明書を使って任意のハイブリッドユーザーとしてオンプレミスの「Active Directory」と同期したグローバル管理者アカウントとしてSAMLトークンを偽造し、Entra IDに対し正当な認証を実行できるようになる。これにはユーザーのパスワードや多要素認証の手段は不要とされ、認証を経ていなくてもEntra ID側は完全に正規の認証と見なされる。

　「Microsoft Graph API」を使った一連の攻撃手順も明らかにされている。攻撃者はまず未確認のカスタムドメインをEntra IDに追加し、DNSレコードの検証によってそのドメインを確認済みの状態にする。次に該当ドメインに対しSAMLフェデレーション設定を適用し、信頼する証明書として攻撃者の証明書を登録する。これによってEntra IDはそのドメインから発行したSAMLトークンを受け入れるようになる。

　Microsoftは本件に対し、Datadogからの報告を受けて調査しているが、脆弱（ぜいじゃく）性ではなく既知の仕様との見解を示している。Application Administratorはアプリケーションへの認証情報が管理可能であり、アプリケーションに高権限が付与されている場合、それに応じた操作が可能になる点が指摘されている。Microsoftは設定ミスに起因するリスクと判断しており、アプリケーションへの高権限の割り当てには慎重を期すよう注意喚起している。

　Datadogは攻撃の兆候を検出するための監視ポイントとして、SPやアプリ登録への証明書追加、Entra IDドメインの追加や認証設定の変更などを挙げている。この他、オンプレミス同期を利用したハイブリッド管理者ではなく、クラウド専用のグローバル管理者アカウントを使用するように推奨している。

　今回の報告はEntra IDにおける高権限アプリケーションの管理において、誤った構成や権限の過剰付与が深刻なリスクを招く可能性を示している。管理者や開発者には自身が管理するアプリケーションやドメイン設定を再確認し、不要な権限の除去と適切な監視体制の構築が求められる。