全世界のMicrosoft Entra IDテナントが危険に晒されていた
2025年9月、セキュリティ業界に衝撃が走りました。セキュリティ研究者のDirk-jan Mollema氏により、Microsoftのレガシーコンポーネントを悪用することで、世界中のあらゆる企業のEntra IDテナントを侵害できる深刻な脆弱性が発見されたのです。
この脆弱性は「Actorトークン」と呼ばれる未文書化のトークンと、レガシーAPI「Azure AD Graph API」の脆弱性CVE-2025-55241を組み合わせることで、攻撃者がターゲットテナントのGlobal Administrator権限を完全に奪取できるというものでした。
「Actorトークン」とは何か?設計上の致命的欠陥
Mollema氏の調査によると、問題の核心は「Actorトークン」という特殊なトークンにありました。このトークンは以下のような特徴を持っています:
- 署名が存在しない – 通常のセキュリティトークンとは異なり、改ざん検証ができない
- 24時間有効 – 一度発行されると無効化できない
- 任意ユーザーへのなりすまし可能 – テナント内の任意のユーザーとして振る舞える
- 適切なアクセス制御が欠如 – 本来あるべきセキュリティ制御がほぼ存在しない
研究者は「このActorトークンの設計全体が、そもそも存在すべきではなかった」と厳しく指摘しています。まさに、セキュリティの基本原則を無視した設計だったのです。
実証された攻撃手法:ログを残さない完璧な侵入
Mollema氏は実際にこの脆弱性を悪用した攻撃を実証しました。攻撃の流れは以下のようになります:
ステップ1:自社テナントでActorトークンを生成
攻撃者はまず、自分が制御するテナントでActorトークンを生成します。このトークンは、Exchange OnlineやSharePointとの通信に使用されるものです。
ステップ2:ターゲットテナント情報の収集
攻撃者は標的となるテナントのIDと、そのテナント内の有効なユーザーIDを特定します。これらの情報は比較的容易に取得可能です。
ステップ3:クロステナント攻撃の実行
ここが最も恐ろしい部分です。攻撃者はActorトークンのテナントIDを標的のものに変更し、Azure AD Graph APIに送信します。本来であればこの時点でアクセスが拒否されるべきですが、CVE-2025-55241の脆弱性により、APIは元のテナントを適切に検証しません。
ステップ4:Global Administrator権限の奪取
攻撃が成功すると、攻撃者は以下のような操作を自由に行えるようになります:
- 新しい管理者アカウントの作成
- 既存ユーザーのパスワードリセット
- セキュリティ設定の変更
- 機密データへのアクセス
最も恐ろしいのは、Global Admin権限を取得するまでのステップが被害者テナント内で一切ログを残さないことです。企業のセキュリティチームは、すでに侵害されていることに気づくことができません。
現役フォレンジックアナリストが見た被害の実態
私がこれまでに調査したインシデント対応の現場では、このような「見えない侵入」による被害が深刻化するケースを数多く見てきました。
実際の被害事例:中小企業A社のケース
とある製造業のA社(従業員約200名)では、ある日突然、社内の重要なSharePointサイトが外部に公開されていることが発覚しました。初期調査では侵入経路が全く特定できず、内部犯行も疑われました。
しかし、詳細なフォレンジック調査により判明したのは、攻撃者がGlobal Administrator権限を取得し、約3か月間にわたって機密情報を窃取していたことでした。従来のログ監視では検出不可能な手法が使われており、発見が遅れたのです。
被害の深刻度
このようなトークンベースの攻撃では、以下のような被害が想定されます:
- 機密情報の大量窃取 – 顧客データ、財務情報、技術資料など
- バックドアの設置 – 長期的な潜伏のための足場構築
- ランサムウェア展開 – システム全体の暗号化
- サプライチェーン攻撃 – 取引先企業への横展開
対策と防御戦略:多層防御の重要性
この脆弱性はマイクロソフトにより2025年7月23日に修正済みですが、類似の攻撃手法への備えは不可欠です。
1. エンドポイント保護の強化
まず基本となるのが、すべてのデバイスに高性能なアンチウイルスソフト
を導入することです。最新の脅威に対応できる製品を選択し、リアルタイム保護を確実に有効化してください。
2. ネットワーク通信の保護
テレワーク環境では、VPN
の使用が必須です。特に企業のクラウドサービスにアクセスする際は、信頼性の高いVPNサービスを経由することで、通信の傍受や改ざんを防げます。
3. Webアプリケーションの定期診断
自社で運用しているWebサービスがある場合は、Webサイト脆弱性診断サービス
を定期的に実施してください。攻撃者の侵入経路となりうる脆弱性を早期発見・修正することが重要です。
4. 異常検知とログ監視の強化
従来のログ監視だけでは検出困難な攻撃に対して、AIベースの異常検知システムの導入を検討してください。ユーザー行動分析(UBA)技術により、正規ユーザーの権限を悪用した攻撃も検出可能になります。
経営層が知っておくべきリスクと対応
この脆弱性が示すのは、クラウドサービス依存度が高まる現代において、サービスプロバイダー側の脆弱性が直接的に企業リスクとなる現実です。
経営層への提言
- セキュリティ投資の優先順位を見直す – 基本的な対策を確実に実施
- インシデント対応体制の整備 – 有事の際の対応手順を明確化
- 定期的なセキュリティ監査 – 外部専門家による客観的評価
- 従業員教育の徹底 – セキュリティ意識の向上と継続的な訓練
まとめ:見えない脅威への備えを怠るな
今回発見されたActorトークンの脆弱性は、現代のサイバーセキュリティが直面する複雑な課題を象徴しています。攻撃者は常に新しい手法を開発し、従来の防御策では検出困難な攻撃を仕掛けてきます。
重要なのは、多層防御の考え方です。単一の対策に依存せず、エンドポイント保護、ネットワークセキュリティ、アプリケーションセキュリティを組み合わせた包括的な防御体制を構築してください。
そして何より、セキュリティは「一度設定すれば終わり」ではありません。継続的な監視、定期的なアップデート、そして最新の脅威情報への対応が不可欠です。
