Active Directory＋Entra ID構成にセキュリティリスク 研究者が報告：セキュリティニュースアラート

セキュリティ研究者がActive DirectoryとEntra IDのハイブリッド環境における新たな横展開手法を発表した。MFA回避や検知困難な権限奪取を可能にする設計上の脆弱性と、その対策の必要性を示している。

[後藤大地，有限会社オングス]

　セキュリティ研究者のディルク・ヤン・モレマ氏は2025年8月6日（現地時間）、米国ラスベガスで開催した「Black Hat USA 2025」において、「Active Directory」（以下、AD）および「Microsoft Entra ID」（以下、Entra ID）を組み合わせたハイブリッド環境における新たな横展開手法を発表した。

　従来のADからEntra IDへの侵入経路が封じられた環境でも認証や多要素認証（MFA）を回避し、検知されにくい形でデータを流出させることを可能とする設計上の特性を悪用する手法が紹介されている。

ADとEntra IDを狙う横展開手法の全貌を解説

　モレマ氏は「Microsoft Entra Connect」同期サーバをコントロールした攻撃者が同期サービスの証明書と秘密鍵を抽出し、これらを使って有効な認証トークンを生成できる点を実証している。攻撃者はEntra ID側で同期した任意のユーザーや一部のクラウド専用アカウントを偽装でき、ディレクトリ全体に対し読み書き権限を取得できる。クラウド専用アカウントを「ソフトマッチング」によってハイブリッドアカウントに変換し、昇格した権限を取得する手口も紹介している。

　発表ではExchangeハイブリッド構成（※）を悪用し、Service-to-Service（S2S）トークンを取得して任意のメールボックスを偽装する方法も示している。S2Sトークンは署名されておらず、発行・利用時に監査ログが生成されないため、24時間の有効期間中は検知されずに電子メールや「Microsoft SharePoint Online」「Microsoft OneDrive」のデータを取得できる危険性があるとしている。

※オンプレミスの「Microsoft Exchange Server」と「Microsoft Exchange Online」を連携させて、両方の環境でメールボックスを管理できるようにする構成のこと。

　加えて、「Microsoft Graph API」（以下、Graph API）経由で条件付きアクセスや外部認証方法のポリシーを改変し、バックドア認証情報の挿入や制御の無効化できること、Seamless SSOの暗号鍵を攻撃者が任意に設定し持続的なアクセスを確保できることも解説している。

　Microsoftは2024年8月に同期アカウントの権限を制限し、Graph APIによるオブジェクト変更を防止する措置を実施したが、ExchangeやEntraの完全分離が義務化される2025年10月まで多くの環境は依然としてリスクにさらされている。

　モレマ氏は証明書の不正エクスポート監査やハードウェア保護鍵の利用、Graph APIの異常呼び出し監視、SSO鍵の定期的な更新、不要な権限の削除などを推奨している。