Entra ID に潜む “nOAuth” という脆弱性:SaaS アプリにおけるアカウント乗っ取りの可能性

nOAuth Exploit Enables Full Account Takeover of Entra Cross-Tenant SaaS Applications

2025/06/26 gbhackers — Microsoft Entra ID と統合される SaaS (Software-as-a-Service) アプリケーションの一部において、“nOAuth” と命名される深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、テナント間の境界を越えた、完全なアカウント乗っ取りの可能性を得る。2025年6月26日に公開された、セキュリティ企業 Semperis による調査結果によると、Microsoft Entra App Gallery に掲載されている 104個のアプリのうちの 9個 (約9%) が、この脆弱性の影響を受けるという。

SaaS アプリを脅かす重大な認証ミス

nOAuth の脆弱性により、OpenID Connect (OIDC) 実装における認証ミスコンフィグを突く攻撃が可能になる。特に、ユーザーの識別子として、メール・アドレスのような可変属性を用いる場合に脆弱となる。

その一方で、Microsoft Entra ID では、未検証のメール・アドレスの利用が許可されている。したがって、その属性を別テナントで操作する攻撃者は、境界を越えて正規ユーザーを装い、機密データへの不正アクセスを達成し、侵害したアプリケーション内における永続化と横移動を可能にするという。

nOAuth Vulnerability
Verified domain name in Entra ID

きわめてシンプルな nOAuth 攻撃は、Entra テナントへのアクセス権と、標的ユーザーのメール・アドレスさえあれば実行できてしまう。

この脆弱性は、技術的な難易度が低く、検知が難しく、ユーザー側での対策がほぼ不可能であることから、きわめて深刻なものになると、Semperis の研究者たちは指摘している。

この攻撃により、脆弱なアプリが騙され、攻撃者が正規ユーザーとして認証されるが、そこで用いられる手口は、Entra ID における未検証メール・アドレス設定の機能と、その主張を許可するアプリ登録の組み合わせである。

攻撃の容易さ

侵入に成功した攻撃者は、乗っ取ったアカウントから到達できる、すべてのデータへのアクセスを達成する。その対象となるデータには、人事管理システムなどに含まれる個人情報 (PII:Personally Identifiable Information) や、Microsoft 365 と連携するメールやカレンダーのデータなどが含まれる。

nOAuth Vulnerability
Running a PATCH against Adele Vance

2023年6月以降における Entra App Gallery への登録において、Microsoft が講じた対策は、未検証のメール・クレームに対するデフォルトでのブロックである。しかし、以前から存在する数千もの SaaS アプリケーションは、依然として危険にさらされている。それぞれのベンダーが認証処理を見直し、OIDC のベスト・プラクティスである issuer (iss)/subject (sub) などの不変識別子を使用しない限り、ユーザー側には防御手段がなく、無防備な状態が続いてしまう。

Entra App Gallery に掲載されるアプリについて、2024年末から調査を開始した Semperis は、OIDC 統合の状況を検証し、倫理的境界を確保するためのセルフ・サインアップ機能をテストしてきた。

その結果として浮き彫りになったのは、業界全体に共通する大きな課題だった。Entra ID 認証だけをサポートする多くの開発者が、テナント間に衝突リスクがないことを前提として、メール・アドレス認証やアカウント統合のロジックなどの、必要な安全対策を実施していない可能性が生じている。

この問題を発見した Semperis は、2024年12月の時点で Microsoft Security Response Center (MSRC) へ “case 93209” として報告し、影響を受けるベンダーにも対しても、個別の連絡を介して対応を促した。

一部のベンダーは、この脆弱性の解消に協力したが、2025年4月に MSRC は、”case 93209″ をクローズしてしまった。同社は開発者に対し、OIDC のガイドライン順守が求められることを改めて強調し、従わないアプリは Entra App Gallery から削除される可能性があると警告した。

その一方でユーザーは、自身で利用するアプリにおける、未検証メール・クレームの受け入れについて確認する術がなく、また、多要素認証 (MFA) や条件付きアクセスといった従来の防御策を講じても効果がないという状況にある。そのため、ユーザーが取れる対策は、”ベンダーに修正を求める” もしくは “脆弱なアプリの使用を止める” となる。

nOAuth は、SaaS エコシステムにおける持続的な脅威である。開発者や組織に対して、今回の情報公開が発する警告は、安全な認証の実装と厳格なテストを、最優先事項として取り扱うべきという重要なメッセージとなっている。

Microsoft Entra ID と連携する SaaS アプリには、”nOAuth” という認証まわりの脆弱性が潜んでいるようです。簡単な手順で他人のアカウントになりすます攻撃者に対して、機密データへの不正アクセスに加えて、侵害したアプリケーション内における永続化と横移動を許してしまうと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Entra ID で検索と、OAuth で検索を、ご参照ください。