アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」 必要な対策とは
Microsoftの「Active Directory」および「Entra ID」(Azure AD)は、「nOAuth」という脆弱性によりアカウントの乗っ取りリスクを抱えている。
CrowdStrikeは2023年7月14日(現地時間)にブログを更新し、サイバー攻撃者が「nOAuth」という脆弱(ぜいじゃく)性を使ってMicrosoftの「Active Directory」および「Entra ID」(旧「Azure Active Directory」〈Azure AD〉)のアカウントを乗っ取る可能性があると伝えた。
アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」 必要な対策とは
Active DirectoryとEntra IDはMicrosoftにおけるID管理の中核を担う製品だ。これらのソリューションは、電子メールアドレスを識別子として利用しており、ドメインの所有権を検証せずに任意のメールアドレスをユーザーアカウントにマッピングできてしまう脆弱性「nOAuth」を抱えている。
CrowdStrikeの発表によれば、Microsoftは既に対応を進め、緩和策を施しているという。しかし、Microsoftの開発者が正式にアプリケーションのコードを変更するまでその緩和策は機能しない。CrowdStrikeはこの問題への現実的な解決策として、他のセキュリティソリューションやID管理ソリューションの保護機能を併用し、リスクを低減することを提案している。
Active Directoryは長期に渡ってID管理の中心的存在であり、企業がクラウドを利用し始めてからはEntra IDも広く使われている。Microsoftは先日、Azure ADの名称をMicrosoft Entra IDに変更したばかりだが、仕組みは変わっていない。
CrowdStrikeは「nOAuthを回避するにはそもそもIDとして電子メールアドレスが使われている現状を変更する必要があるが、実施するのは簡単ではない。現実的な解決策として、対応が進むまでセキュリティソリューションを併用してアカウント乗っ取りなどに対応することが重要だ」としている。
関連記事
- AzureADがMicrosoft Entra IDに名称変更 製品名を簡素化
Microsoftは製品の名前付けを簡素化し製品ファミリーを統合するために、「Microsoft Azure Active Directory」を「Microsoft Entra ID」に名称変更すると発表した。 - CrowdStrikeとAWSが提携、生成AI構築支援と構築環境のセキュリティ保護を提供
CrowdStrikeはAWSと共同で、顧客が独自の生成AIアプリケーションを構築できるクラウド環境および、これを総合的に保護するクラウドセキュリティソリューションを提供する。 - 自己解凍型アーカイブを悪用して検出回避する新手法が流行、CrowdStrikeが発見
CrowdStrikeによってサイバー攻撃者が自己解凍アーカイブファイルを悪用する新手法が発見された。現行のセキュリティソフトウェアでは検出が難しいとされており注意が必要だ。 - CrowdStrikeとDellが戦略的提携を発表 ビジネスPCのセキュリティを強化
CrowdStrikeとDell Technologiesは新たな戦略的提携を発表した。サイバーセキュリティ分野における協業であり、CrowdStrikeが提供するサイバーセキュリティソリューションをDellの顧客が利用できるようになる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.