【ITニュース解説】The God Mode Vulnerability That Should Kill "Trust Microsoft"

最近、セキュリティ研究者のディルク・ヤン・モレマ氏が、Microsoft Entra ID（以前はAzure ADとして知られていた）において、極めて重大な脆弱性「CVE-2025–55241」を発見し、公表した。この脆弱性は、もし悪用されていれば、たった一つのトークンを手に入れるだけで、世界中の全てのMicrosoft Entra IDテナントの完全な管理者権限を奪うことが可能であったという、非常に深刻なものだった。これは、企業や政府機関の重要な本人認証システム、クラウドインフラ全体が、ごく基本的な技術知識を持つ個人によって、完全に侵害される可能性があったことを意味する。

この問題は、Microsoftのバックエンドシステムでサービス間の通信に用いられる「Actorトークン」に起因する。Actorトークンは、本来、特定のテナント内で限定的に利用されるべきものだったが、検証メカニズムに重大な欠陥があったため、テナントの境界を越えて不正に使用できる状態だった。これにより、攻撃者はあらゆるテナントのユーザーデータ、グループのメンバーシップ、アプリケーションの権限、さらにはデバイスの暗号化キーといった機密情報にも、気付かれることなくアクセスすることができた。最悪の場合、攻撃者はシステム全体の最高権限を持つ「グローバルアドミン」アカウントを新規作成したり、既存の重要なユーザーの身元を乗っ取ったりすることも可能であった。

この脆弱性の根本原因は、Microsoftのシステム設計にあった。システムが円滑に機能するために、一部のサービスに「神のような」非常に強力な権限、つまり究極的な「権限（Authority）」を与えるように設計されていた。そして、その究極の権限を持つ存在を「信頼する」ことでシステムが成り立っていたのだ。この「信頼」こそが、今回の壊滅的な脆弱性につながるポイントとなった。

これまで多くの企業は「Microsoftを信頼できないなら、何を信頼できるのか」という問いを、セキュリティ対策の正当化に使ってきた。しかし、今回の脆弱性は、業界標準だから安心という考えがもはや通用しないことを示している。Microsoftだけでなく、他の多くの「信頼される」大手ベンダーも、同様に重大なセキュリティ侵害を経験しており、高度なリソースと専門知識があっても、システムの複雑さゆえに避けられない脆弱性が存在する現実を突きつけている。問題は、これらの「Actorトークン」のような、システム内部に存在する強力な権限の仕組みが、顧客からは見えにくい点にある。見えないものは監査できず、盲目的に信頼するしかないものは、真に安全とは言えない。

このような大規模なプラットフォームの侵害は、単一の企業に留まらず、広範な「サプライチェーン攻撃」へと連鎖する危険性がある。一つのテナントが侵害されれば、そこから関連する他のテナントへと攻撃が波及し、世界中のEntra IDテナントが次々と侵害される可能性があった。これは、グローバルなビジネスインフラ全体が、ドミノ倒しのように崩壊する事態につながりかねない深刻さを持つ。

究極的な問題は、この「権限」の集中にある。デジタルシステムにおける権限とは、アクセスを許可し、行動を承認し、ルールを強制する力のことだ。システムを設計する上で、誰か、あるいは何かが「何でもできる」能力を持つように設定されている限り、その権限は常に悪用されるリスクにさらされる。管理者のアカウント、ベンダーのシステム、特定のサービスアカウントなど、どこかに究極の権限が集中している状態は、それ自体が最大の脆弱性なのだ。

従来のセキュリティ対策、たとえ「ゼロトラスト」モデルであっても、この集中した権限の問題を根本的に解決しているわけではない。権限の場所を移動させるだけで、IDプロバイダーのような核心部分に依然として盲目的な信頼が求められるため、そこが侵害されれば他の全ての防御が無意味になる。Actorトークンの脆弱性は、まさにこの限界を浮き彫りにした。どれほど多くのセキュリティポリシーや監視体制があっても、根幹をなすIDプロバイダー自体が侵害されれば、全てが無に帰すことを示している。

私たちは、避けられないシステム侵害が発生しても、それが壊滅的な結果をもたらさないような、より強固なシステムを求めている。そのためには、権限が単一の場所に集中しない「権限なし（Authorityless）」のアーキテクチャが必要だ。これは、例えば、単一のベンダーや管理者でさえ、顧客の機密データに単独でアクセスできないシステムを意味する。また、サプライチェーン全体への普遍的なアクセスを与えるような脆弱性や、攻撃者にシステム全体の最高権限を与える「神モード」を許さないシステムでもある。

「権限なし」セキュリティは、現代の暗号技術によって実現可能だ。権限を複数の独立したパーティに分散させ、彼らが協力することでのみ特定の行動を可能にするという考え方だ。例えば、ユーザーのID検証やデータアクセス承認に必要な暗号鍵は、決して一箇所に完全な形で存在せず、複数の分散されたノードに断片として保管される。これにより、たとえ攻撃者が一部のノードを侵害したとしても、鍵の断片だけではアクセスを偽造したり、データを復号化したりすることは不可能になる。 Actorトークンのような集中権限が存在しないため、システム全体を掌握されるリスクがなくなるのだ。

毎年多額の費用がサイバーセキュリティに投じられているにもかかわらず、情報侵害による損害は拡大している。これは、対策の実行が不十分なのではなく、システムアーキテクチャの根本的な欠陥が原因である。現在、どれだけのActorトークンと同等の未発見の脆弱性が存在し、どれだけがすでに敵対者によって密かに悪用されているのか。もはや「Microsoftを信頼する」というような、単一のベンダーへの盲目的な信頼に基づくセキュリティ戦略は通用しない。

Actorトークンの脆弱性は、私たちのセキュリティへのアプローチが根本的に間違っていることを示す、重要な警告である。究極の権限がどこか一箇所に集中している限り、その場所は必ず攻撃される。未来は、権限がどこにも集中しないシステムにある。盲目的な信頼ではなく、暗号学的証明によって安全が保証されるシステムだ。数学的な保証がベンダーの約束よりも優先され、避けられない侵害が必然的な破滅に直結しないシステムを構築することが求められている。Microsoftは今回の脆弱性自体は修正したが、集中権限という根源的なアーキテクチャは依然として残っている。別の、同レベルの脆弱性がいつ、誰によって発見されるか、私たちはその問いに対するギャンブルをやめるべき時が来ている。