【ITニュース解説】One Token to rule them all – Obtaining Global Admin in every Entra ID tenant

システムエンジニアを目指す上で、クラウドサービスのセキュリティは非常に重要なテーマだ。今回は、多くの企業が利用するMicrosoftのクラウド環境におけるID管理サービス、Microsoft Entra ID（旧称 Azure Active Directory）に存在する、深刻なセキュリティ問題について解説する。この問題は、一つの特定の「トークン」が悪用されることで、企業が利用するEntra ID環境の最高権限を不正に取得される可能性があるというものだ。

まず、Microsoft Entra IDとは何かを理解しよう。これは、企業や組織がクラウド上で従業員のID（身元）を管理し、様々なアプリケーションやサービスへのアクセスを制御するための重要なサービスだ。例えば、社員が会社のOffice 365やSalesforceといったクラウドアプリケーションにログインする際、その認証情報を一元的に管理し、アクセス許可を判断する役割を果たす。企業はそれぞれ独自の「テナント」と呼ばれるEntra ID環境を持ち、その中でユーザーアカウントやグループ、アプリケーションの設定などを行う。

このEntra ID環境において、最も強力な権限を持つのが「グローバル管理者（Global Admin）」という役割だ。グローバル管理者は、テナント内のほぼ全ての操作を実行できる。具体的には、ユーザーアカウントの作成や削除、パスワードのリセット、アプリケーションの登録や権限設定、セキュリティポリシーの変更など、Entra IDテナント全体を管理・制御できる絶対的な権限だ。もしこのグローバル管理者権限が第三者に不正に取得されてしまうと、その企業や組織のID管理システム全体が乗っ取られ、機密情報の漏洩、システム設定の改ざん、さらには全従業員のアカウントが乗っ取られるといった甚大な被害が発生する可能性がる。

今回問題となっているのは、「Actor Token（アクター・トークン）」という特殊なトークンが悪用されるケースだ。通常、アプリケーションが別のアプリケーションやサービスに代わって何かのアクションを実行する場合、その代行を許可する仕組みが必要となる。この仕組みの一つが「委任されたアクセス許可」であり、その際に使用されるのがアクセストークンだ。Actor Tokenは、特にあるサービス（アクター）が、別のサービスのために行動する際に発行されるもので、そのサービスが持つ委任された権限を示す。例えば、Azure DevOpsやAzure AutomationといったMicrosoftのサービスが、ユーザーの代わりにEntra IDに対して操作を行う際に、この種のトークンが使われることがある。

この脆弱性の核心は、特定のMicrosoft製アプリケーション（具体的には、一部のアプリケーションのサービスプリンシパル）が持つActor Tokenが、本来想定されていないほど強力なアクセス許可を内部的に持ってしまう状況にある。通常、Actor Tokenは限定された範囲の操作しか許さないはずだが、問題のケースでは、このトークンがEntra IDテナント内でアプリケーションを「読み取り、書き込み、削除」できるような広範な権限を持ってしまっていた。

攻撃者はこの不適切に強力なActor Tokenを悪用する。攻撃の手順は次のようになる。まず、攻撃者は何らかの方法で、脆弱なMicrosoft製アプリケーションが発行した、強力なアクセス許可を持つActor Tokenを入手する。これは、例えば、そのアプリケーションが動作する環境に侵入するか、あるいは特定のAPI呼び出しを傍受することで可能となるかもしれない。次に、攻撃者はこのActor Tokenを使って、標的のEntra IDテナント内に新しい悪意のある「アプリケーション」を登録する。そして、この新しく登録したアプリケーションに対して、なんと「グローバル管理者」権限を付与してしまうのだ。一度悪意のあるアプリケーションにグローバル管理者権限が付与されれば、攻撃者はそのアプリケーションを通じて、標的のEntra IDテナント全体を完全に制御できるようになる。これは、あたかも自分自身がそのテナントのグローバル管理者になったかのような状態を意味する。

この問題は、クラウド環境における権限管理の複雑さと、特定のシステムの内部的な設計ミスが組み合わさって生じた、非常に巧妙な攻撃経路と言える。攻撃者は、直接ユーザーアカウントを乗っ取るのではなく、サービス間の信頼関係やアプリケーションの権限付与のメカニズムを悪用している点が特徴だ。

このような脆弱性が企業にもたらすリスクは計り知れない。まず、Entra IDテナントが完全に制御されることで、全てのユーザーアカウント情報や機密データが攻撃者の手に渡る可能性がある。次に、企業のクラウドサービス全体の設定が改ざんされ、業務停止やシステム破壊に繋がる恐れもある。また、攻撃者はグローバル管理者権限を使って、自らの痕跡を消したり、永続的なバックドアを仕掛けたりすることも可能だ。これは、企業の信頼性と事業継続性に致命的な影響を与える。

システムエンジニアを目指す皆さんにとって、このニュースはセキュリティに対する深い理解と注意がいかに重要かを教えてくれる。今回の事態を受けて、我々が取るべき対策はいくつかある。

まず最も重要なのは、「最小権限の原則（Least Privilege）」を徹底することだ。これは、ユーザーやアプリケーション、サービスプリンシパル（アプリケーションを表すEntra IDオブジェクト）には、その業務を遂行するために必要最小限の権限のみを付与すべきだというセキュリティの基本原則だ。今回の問題も、特定のActor Tokenが本来必要以上の権限を持っていたことが根本原因の一つとなっている。全てのアプリケーションやサービスプリンシパルの権限設定を定期的に見直し、過剰な権限が付与されていないかを確認することが不可欠だ。

次に、不審な活動を継続的に監視する体制を整える必要がある。Entra IDのサインインログや監査ログを定期的に確認し、異常なログイン試行、新しいアプリケーションの不審な登録、権限の昇格といったイベントがないかを常に監視することが重要だ。異常を早期に検知できれば、被害を最小限に抑えられる可能性が高まる。

また、Microsoftが提供するセキュリティ更新プログラムやガイダンスに常に注意を払い、迅速に適用することも必須だ。今回の脆弱性についても、Microsoftから対策が発表されているため、それを適用することが最優先となる。多要素認証（MFA）の導入や、特定の条件を満たす場合にのみアクセスを許可する条件付きアクセス（Conditional Access）ポリシーの適用も、アカウント乗っ取りのリスクを大幅に低減するための効果的な手段となる。

今回のニュースは、クラウド環境のセキュリティが、単なるパスワードの管理だけでなく、IDプロバイダーの内部的な仕組み、アプリケーション間の連携、そしてそれらの権限設定の複雑さにまで及ぶことを示している。システムエンジニアとして、常に最新の脅威動向を学び、自らが設計・運用するシステムのセキュリティを多角的に評価し、堅牢な対策を講じる能力を磨いていくことが求められるだろう。クラウドサービスの利便性を享受しつつ、その裏に潜むリスクを理解し、適切に対処する知識とスキルは、今後のIT業界で不可欠なものとなる。