Azureの重大な脆弱性、グローバル管理者権限の取得を許容
2025-09-19
セキュリティ研究者のDirk-jan Mollema氏が、Microsoft Azure Entra ID(旧Azure Active Directory)における2つの重大な脆弱性を発見しました。これらにより、すべてのAzure顧客アカウントのグローバル管理者権限が取得される可能性がありました。これらの脆弱性は、Entra ID内で稼働しているレガシーシステム、具体的には「Actor Tokens」と呼ばれるAzure認証トークンと「Graph」と呼ばれる古いAPIに関連していました。Mollema氏は7月14日にMicrosoftにこの脆弱性を報告し、Microsoftは7月17日にグローバルな修正プログラムをリリースしました。Microsoftは、この脆弱性が悪用された証拠は見つかっていないと述べています。この事件は、大規模なクラウドプロバイダーでさえ重大なセキュリティ上の課題に直面する可能性があることを示しており、タイムリーなアップデートと最新のセキュリティプロトコルへの移行の重要性を強調しています。