Azureの多要素認証に重大な脆弱性 4億以上のMicrosoft 365アカウントに影響か：セキュリティニュースアラート

Oasis SecurityはMicrosoft Azureの多要素認証に回避可能な脆弱性が存在すると報告した。この問題は4億以上のMicrosoft 365アカウントに影響を及ぼす可能性がある。

[後藤大地，有限会社オングス]

　Oasis Securityは2024年12月11日（現地時間）、「Microsoft Azure」（以下、Azure）の多要素認証（MFA）に重大な脆弱（ぜいじゃく）性を発見したと報告した。

　この脆弱性によって攻撃者は多要素認証を回避し、「Microsoft Outlook」「Microsoft OneDrive」「Microsoft Teams」、AzureなどのMicrosoftサービスへの不正アクセスが可能となる。もし不正アクセスが実行されれば、Microsoftが提供する4億を超える有料の「Microsoft 365」アカウントが影響を受ける可能性がある。

AzureのMFA機能に不正アクセスを可能にする脆弱性

　Oasis Securityの研究チームの報告によると、この脆弱性はセッションIDの管理と6桁のコードを使用した認証プロセスに起因する。MFAのコード試行にレート制限が設定されていないため、攻撃者は新しいセッションを連続して生成し、大量の6桁のコードを同時に試行することで正しいコードを特定できたという。バイパスには約1時間を有したがその間、ユーザーには一切の通知が送られず、不正アクセスの兆候を認識することはできないという。

　タイムベースドワンタイムパスワード（TOTP）のコードは通常30秒ごとに生成されるが、時間差や遅延を考慮し、多くの認証アプリではこれより長い時間枠を許容している。Microsoftサインインでテストした結果、1つのコードに対して約3分間の許容範囲があり、試行回数を最大6倍に増やすことが可能だとされている。この条件下でコードを正しく推測できる確率は3％であり、攻撃者が70分間で24回のセッションを実行した場合、成功率は50％を超える可能性がある。

　Oasis Securityは2024年6月にこの脆弱性をMicrosoftに報告した。Microsoftは同年7月に一時的な修正を、同年9月には恒久的な修正が実施された。修正内容の詳細は公開されていないが、試行失敗時により厳格なレート制限を導入したことが確認されている。またこの制限は約半日間適用される。

　Oasis Securityは組織に対し、MFAの使用は依然として重要であることや漏えい情報を定期的に監視すること、MFA試行失敗時にアラート通知を導入するなどのガイドラインを推奨している。