OneLogin AD コネクターに脆弱性:認証情報の漏洩とフェデレーション侵害の恐れ

OneLogin AD Connector Vulnerabilities Exposes Authentication Credentials

2025/06/12 CyberSecurityNews — OneLogin の Active Directory (AD) Connector サービスに、複数の深刻な脆弱性が発見された。これらの脆弱性が悪用されると、認証情報の漏洩や、攻撃者による正規ユーザーへの成りすましなどの可能性が生じる。これらの脆弱性が影響を及ぼす範囲は、広く利用されている OneLogin の IAM (Identity and Access Management) プラットフォームである。これらの脆弱性を悪用する攻撃者は、漏洩した認証情報を悪用して有効な JSON Web Token (JWT) を生成し、顧客システムへの不正アクセスの可能性を手にする。

このセキュリティ上の欠陥が発見されたのは、OneLogin プラットフォームの機能を見込み客が試用する、OneLogin のトライアル・テナント・システムを対象にした調査の最中である。

当初、この調査は、通常のセキュリティ分析の一環として始まった。しかし、OneLogin の AD Connector サービスが、API エンドポイント経由で機密性の高い認証情報を誤って漏洩していることが発見され、深刻な事態にあることが判明した。

具体的には、Windows のドメイン・コントローラー上で稼働する ConnectorService.exe が、コンフィグ API を通じて暗号化されていない認証情報を送信し、広大な攻撃対象領域を生み出していたことになる。

SpecterOps の分析によると、OneLogin のインフラ内に複数の重大な情報漏えいポイントが発見された。そこには、平文の AWS 認証情報/API キーに加えて、JWT トークン生成に不可欠な暗号化署名キーなどの、きわめて機密性の高い情報が取り込まれていた。

つまり、これらの露出した認証情報を悪用する攻撃者は、正規の認証トークンを作成し、OneLogin のセキュリティ制御を回避することで、このディレクトリ・サービスと同期する任意のユーザーとしてログインできる状態になっていた。

Lab Setup (Source – Specterops)

この脆弱性チェーンは、初期段階での認証情報の漏洩が、組織内で連携するアプリケーション全体への広範な不正アクセスにつながるという、完全な侵害シナリオを示している。

数多くのエンタープライズ・ユーザーに対して、OneLogin は一元化された ID プロバイダとしてサービスを提供しているため、これらの脆弱性の影響は、単なる認証情報の盗難に留まらない。

これらのシステムが一度でも侵害されてしまうと、クラウド・サービス/オンプレミス・アプリケーション/サードパーティ連携機能などの、組織全体のアプリケーション・エコシステムへの広範なアクセスが、攻撃者に対して許されるという事態に陥る。

今回の調査が浮き彫りにするのは、現代の企業セキュリティの中核を担っている ID フェデレーション・プラットフォームが、サイバー攻撃者にとって、きわめて価値の高い標的となっている状況である。

悪用メカニズムの技術的検証

この脆弱性の悪用は、OneLogin の構成用 API エンドポイント https://api.onelogin.com/api/adc/v4/configuration を中心に展開されるものだ。適切なディレクトリ・トークンを用いてクエリを送信すると、このエンドポイントから、機密性の高い構成データを返してしまう仕様になっていた。

研究者たちが突き止めたのは、このエンドポイントが、以下のような重要情報を露出していることだ:

  • API キー
  • 平文の AWS (AKIA 形式の) ユーザー認証情報
  • JWT トークンの生成に必要な Base64 エンコード済みの署名鍵

特に深刻だったのは、露出した AWS 資格情報を使って参照される S3 バケット onelogin-adc-logs-production にアクセスしたところ、そのバケットが未申請だったことだ。

そこで研究者たちが、このバケットを自身の AWS アカウントに登録すると、実際の OneLogin 顧客からの本番ログ・ファイルが受信され始めた。これらのログには、同期された全ユーザーに関する詳細な LDAP 属性情報や、有効なディレクトリ・トークンが取り込まれていた。

JWT tokens (Source – Specterops)


それが意味するのは、顧客データの機密性が完全に侵害されたことである。つまり、OneLogin のインフラ管理における構造的な問題が明らかになったことになる。

この攻撃の前提となるのは、OneLogin の .NET バイナリ・ファイルである ConnectorService.exe にリバース・エンジニアリングによる、JWT トークン構造の解析である。

研究者たちは、デコンパイル・ツールを使用して、JWT で必要とされるフィールド (有効期限 exp/発行者 iss/対象 aud/ユーザー識別子 sub) を特定した。

その上で彼らは、露出した署名鍵からを有効な JWT トークンを生成する Python スクリプトを開発し、実際の悪用が可能であることを証明した。

この認証プロセスでは、改竄されたトークンを OneLogin の SSO 用のコンシューマ URL に送信することで、すべての認証制御を回避し、任意のユーザーに成りすまし、フェデレーション・アプリケーションにアクセスできるという状況が生じた。

この、一連の脆弱性チェーンが示すのは、認証情報の安全管理と API 設計における失敗により、たった一つの露出したエンドポイントが、顧客全体の ID 基盤を危険にさらす可能性があることだ。

この調査結果が強く訴えるのは、ID フェデレーション・プラットフォームを “Tier 0” 資産として扱い、最高レベルのセキュリティ保護と監視を施す必要性である。

この OneLogin の脆弱性に関する記事は、ID 管理の重要性について考えさせられる内容です。暗号化されていない認証情報や JWT の平文での署名鍵が取得可能だったという点には、ちょっと驚きました。IDフェデレーション基盤は、まさに “Tier 0” の扱いが必要ですね。よろしければ、カテゴリAuthN AuthZ を ご参照ください。