Entra IDにActorトークンを悪用できる認証欠陥 多くのテナントに影響か：セキュリティニュースアラート

Entra IDの認証欠陥により、Actorトークンを悪用した攻撃で任意テナントのGlobal Admin権限を取得できることが分かった。監査不備や署名欠如の問題が指摘されており、Microsoftはこの脆弱性に対しCVEを割り当てて修正している。

[後藤大地，ITmedia]

　セキュリティ研究者のディルク・ヤン・モレマ氏は2025年9月17日（現地時間）、「Microsoft Entra ID」（旧Azure AD）の深刻な認証およびトークン検証の欠陥を報告した。

　モレマ氏によると、未公開の「Actorトークン」と呼ばれるサービス間通信用の代行トークンと、旧来の「Azure AD Graph API」のテナント検証不備が組み合わさることで、攻撃者が任意のテナント内で任意のユーザー、最終的にはGlobal Admin権限を取得可能であったとしている。実験は研究者のラボ環境で実施され、国別クラウドの特定環境を除き多くのテナントに影響する可能性が指摘されている。

署名なきトークン設計がもたらす深刻なリスク

　ActorトークンはMicrosoftのアクセス制御サービス「Access Control Service」から発行されるJWT（JSON Web Token）で、JWTの受信者を特定するクレーム「aud」にAzure AD Graphの識別子および「graph.windows.net」が含まれ、有効期限は発行から24時間となっている。

　JWTの発信者を特定するクレーム「iss」には「Entra IDトークンサービス」（Azure ESTS Service）の識別子が含まれ、「trustedForDelegation」クレームがTrueになると第三者のなりすましに使われる可能性がある。

　モレマ氏はこれらのトークンが署名されておらず、発行・生成時にテナント側でのログが残らないことや生成後24時間は取り消し不能なこと、「Conditional Access」などのセキュリティポリシーを通過しないことを問題点として挙げている。Actorトークンを入手した攻撃者はAzure AD Graph経由でディレクトリ情報を閲覧し、Global Adminをなりすまして読み書き操作を実行できる可能性がある。

　Azure AD GraphはAPIレベルの豊富な監査ログを備えていない点が指摘されている。後継の「Microsoft Graph」には、より詳細な記録機能があるが、Azure AD Graphでは該当テレメトリーが限定プレビュー段階であり広範な利用状況にないため、Actorトークンの利用は痕跡が残りにくかった。ログが発生する場合、Actorトークンの性質によって発行元テナントにログが残るため、被害テナント側で利用の証跡が見つからない恐れがある。

　被害の範囲はディレクトリ内の個人情報、グループやロール、テナント設定、アプリケーションとサービスプリンシパル、同期されているデバイス情報や「BitLocker」鍵に及ぶ可能性がある。Global Adminをなりすました場合、「Microsoft 365」やAzureサブスクリプションの権限付与を通じて、テナント内外の資源への完全支配が可能になる点が示されている。実際にディレクトリを変更すると被害テナント側に監査ログが生成されるため、読み取りのみでは痕跡が残りにくい。

　モレマ氏は発見後すぐにMicrosoft Security Response Centerに報告している。報告受領後、Microsoftは数日内に対応を実施し、Azure AD Graph用にActorトークン要求をブロックする追加の緩和策を展開し、CVE-2025-55241が割り当てられている。

　モレマ氏はActorトークン自体の設計に基本的な問題があるとしている。署名の欠如、取り消し不可能な有効期間、アクセス制御ポリシーのバイパス性、発行時の記録欠落が同トークンを危険にする要因と評価している。今回の修正によって該当攻撃経路は封じられたが、研究者は該当プロトコルが古い設計に由来する点や、Microsoft内部で用いられる非公開の認証プロセスに関する透明性の欠如を問題視している。今回の発見はEntra IDの認証基盤とレガシーな実装の扱いに関して注意喚起を促している。