Last Updated on 2025-08-10 15:54 by 荒木 啓介
BeyondTrustのシニアセキュリティ研究者Simon Maxwell-Stewartが2025年6月25日にThe Hacker Newsで発表した研究によると、Microsoft Entra IDにおいてゲストユーザーが招待先テナント内でサブスクリプションを作成し、所有者権限を取得できる設計上の問題が確認された。
この問題は課金権限がEntraディレクトリではなく課金アカウントレベルでスコープされていることに起因する。攻撃者はAzure無料トライアルで独自テナントを作成するか既存の課金ロールを持つユーザーを侵害し、ターゲットテナントへのゲスト招待を受けた後、Azureポータルでサブスクリプションを作成してターゲットテナントに転送する。
この手法により攻撃者はルート管理グループ管理者の一覧表示、Azureポリシーの無効化、ユーザー管理アイデンティティの作成、デバイス登録による条件付きアクセスポリシーの悪用が可能となる。BeyondTrustの研究者は実際にこの攻撃手法が悪用されていることを確認している。
対策としてMicrosoftはサブスクリプションポリシーの設定によるゲストからの転送ブロック機能を提供している。
From: 
Beware the Hidden Risk in Your Entra Environment
【編集部解説】
今回のMicrosoft Entra IDにおけるゲストユーザーの権限昇格問題は、クラウドセキュリティの根本的な課題を浮き彫りにしています。この問題の核心は、従来のセキュリティモデルが想定していない「課金権限」という新たな攻撃ベクターにあります。
多くの企業がEntra IDのB2B機能を活用して外部パートナーとの協業を進めていますが、その際にゲストアカウントは「制限された権限しか持たない低リスクなアカウント」として扱われてきました。しかし、今回明らかになったのは、課金レベルでの権限がディレクトリレベルの権限とは独立して動作するという設計上の盲点です。
特に深刻なのは、この問題が現在の設計仕様の範囲内で発生しており、単純なバグや脆弱性ではないという点です。これはクラウドサービスの複雑な権限体系が生み出した構造的な問題といえるでしょう。
さらに重要な事実として、BeyondTrustの研究者は実際の攻撃でこの手法が悪用されていることを確認しています。これは仮説的なリスクではなく、現実に発生している脅威なのです。
この攻撃ベクターはB2Bシナリオで極めて一般的であり、ホームテナントとリソーステナントが異なる組織によって制御される環境では特に注意が必要です。多くの組織がこの潜在的なリスクを認識していない可能性があります。
この問題が企業に与える影響は多岐にわたります。従来のセキュリティ監査では発見が困難な「見えない権限昇格」が可能になることで、内部統制の有効性が損なわれる可能性があります。また、ゲストが作成したサブスクリプションを通じて、組織の管理者情報の漏洩やセキュリティポリシーの無効化といった深刻な被害が発生する恐れもあります。
一方で、この問題の発見は企業のクラウドガバナンス体制を見直す良い機会でもあります。サブスクリプションポリシーの適切な設定や、ゲストアカウントの定期的な監査といった対策を講じることで、より堅牢なセキュリティ体制を構築できるからです。
長期的な視点では、この事案はクラウドセキュリティにおける「アイデンティティファースト」のアプローチの重要性を示しています。従来のネットワーク境界に依存したセキュリティモデルから、すべてのアカウントを潜在的なリスクとして捉える「ゼロトラスト」モデルへの転換が急務となっているのです。
規制面では、この問題がデータ保護規制やコンプライアンス要件に与える影響も無視できません。特に金融機関や医療機関など、厳格な規制下にある業界では、ゲストアカウント管理の見直しが急務となるでしょう。
今回の事案は、クラウド時代における新たなセキュリティ課題の象徴といえます。技術の進歩とともに、セキュリティ対策も継続的な進化が求められているのです。
【用語解説】
Microsoft Entra ID
Microsoftが提供するクラウドベースのアイデンティティおよびアクセス管理サービス。従来のAzure Active Directoryから名称変更された。企業の従業員や外部ユーザーのIDを一元管理し、様々なクラウドサービスへの安全なアクセスを実現する。
B2Bゲストユーザー
外部組織のユーザーが、招待を受けて他の組織のEntra IDテナントにアクセスできる機能。コラボレーションを促進する一方で、セキュリティリスクも伴う。
サブスクリプション
Azureクラウドサービスを利用するための契約単位。リソースの作成や管理、課金の基本単位となる。
RBACロール(Role-Based Access Control)
ロールベースアクセス制御。ユーザーの職務や責任に基づいて、システムリソースへのアクセス権限を管理する仕組み。
課金ロール
Azureの課金アカウントレベルで動作する権限。EntraディレクトリロールやAzure RBACロールとは独立して存在し、サブスクリプションの作成や転送が可能。
ユーザー管理アイデンティティ
Azureリソースが他のAzureサービスに認証するために使用される特別なアイデンティティ。アプリケーションやサービスが安全にリソースにアクセスするために利用される。
条件付きアクセスポリシー
特定の条件(デバイス、場所、リスクレベルなど)に基づいてアクセスを制御するセキュリティ機能。
動的グループ
ユーザーやデバイスの属性に基づいて自動的にメンバーシップが決定されるグループ。設定ミスにより意図しない権限昇格の原因となる場合がある。
Enterprise Agreement(EA)
Microsoftが大企業向けに提供するボリュームライセンス契約。複数年契約でコスト削減と管理の簡素化を実現する。
Microsoft Customer Agreement(MCA)
Microsoftの新しい顧客契約形態。従来の複数の契約を統合し、より柔軟な購入オプションを提供する。
【参考リンク】
Microsoft Entra – 安全な ID とアクセス(外部)
Microsoftが提供するアイデンティティおよびアクセス管理ソリューションの公式サイト
BeyondTrust: Identity and Access Security(外部)
特権アクセス管理とアイデンティティ脅威検知・対応のリーディングカンパニー
Manage Azure subscription policies(外部)
Azureサブスクリプションポリシーの管理方法を説明するMicrosoftの公式ドキュメント
Microsoft Entra ID とは(外部)
Microsoft Entra IDの基本概念と機能を説明するMicrosoftの公式ドキュメント
【参考記事】
Abusing dynamic groups in Azure AD for privilege escalation(外部)
Azure ADの動的グループを悪用した権限昇格攻撃について詳述するセキュリティ研究記事
【編集部後記】
今回のEntra IDの問題は、私たちが日常的に使っているクラウドサービスの「見えない部分」で起きていることです。皆さんの組織でも、外部パートナーとの協業でゲストアカウントを活用されているのではないでしょうか。
特にB2B環境では、この攻撃ベクターが極めて一般的に存在する可能性があります。この記事を読んで、ご自身の環境ではどのようなゲスト管理が行われているか、一度確認してみませんか。また、セキュリティチームの方がいらっしゃいましたら、現在の監査体制でこのような「課金レベルでの権限昇格」を検知できるかどうか、ぜひ検討してみてください。
