Synology ABM の脆弱性 CVE-2025-4679:Microsoft 365 の機密情報が漏洩?

Synology ABM Vulnerability Leaks Microsoft 365 Sensitive Information

2025/06/30 gbhackers — Synology の Active Backup for Microsoft 365 (ABM) に存在する重大な脆弱性により、Microsoft 365 テナントに保存されている機密データが漏洩し、100 万を超える組織に影響が生じるという。この脆弱性 CVE-2025-4679 を悪用する攻撃者は、ターゲット環境への事前アクセスを必要とせずに、Teams メッセージ/グループ・メンバーシップ/Outlook の会話/カレンダー・データなどの、Microsoft 365 の機密コンテンツへのアクセスを可能にする。

脆弱性の動作

modzero のセキュリティ研究者たちが、レッドチーム演習中に、この問題を発見した。根本的な原因は Synology ABM の設定プロセスにあり、Synology のミドルウェア・サービス (synooauth.synology.com) が処理するリダイレクト URL 経由で、Synology 用のグローバル Microsoft アプリ登録用のマスター資格情報 (静的 client_secret) が漏洩していたという。

ABM permissions admin consent prompt for the organization
ABM permissions admin consent prompt for the organization

この、ブラウザのリダイレクトに埋め込まれた認証情報は、バックアップ設定中のネットワーク・トラフィックを監視する攻撃者に傍受される可能性がある。

研究者たちは、「Synology Active Backup for Microsoft 365 のセットアップを一度確認するだけで、マスターキーの特定が可能になる。それにより、Active Backup エンタープライズ・アプリケーションを承認した、すべての M365 テナントへのアクセス権限を取得できる」と警告している。

Synology middleware ("SynoOauth") – NAS instance redirect prompt [redacted for display]
Synology middleware (“SynoOauth”) – NAS instance redirect prompt [redacted for display]

漏洩した client_id と client_secret を悪用する攻撃者は、ABM がインストールされている任意のテナントに対して、Microsoft Graph API アクセス・トークンをリクエストする。その結果として、Synology や Microsoft からの認証を必要とすることなく、標的組織の大量データに対して、読み取り専用の権限でアクセスできるという。

潜在的な影響
  • 影響範囲:ABM をインストールし、そこに権限を付与していた、すべての組織がリスクにさらされる。
  • データ漏洩:すべての Microsoft Teams チャネル・メッセージ/グループ・プロパティ/Outlook コンテンツ/カレンダーに対する読み取りが、攻撃者に許される。
  • 攻撃シナリオ:スパイ活動/ランサムウェアの偵察/地下市場での販売などを目的とする、大量データ窃取がグローバル規模で可能になっている。
  • 事前アクセス不要:攻撃に必要なものは、漏洩した資格情報のみであり、ターゲット環境への足掛かりは不要である。
Secret credential exposed in response redirect of SynoOauth middleware during ABM setup
Secret credential exposed in response redirect of SynoOauth middleware during ABM setup

modzero は 2025年4月4日の時点で、この脆弱性を Synology に報告している。この問題を認めた Synology は、CVE-2025-4679 を割り当てたが、深刻度を CVSS:6.5 (Moderate) と評価し、研究者たちが算出した CVSS:8.6 (High) から大幅に引き下げた。

Synology が公開したアドバイザリには、「リモートの認証済み攻撃者が、未指定のベクター経由で機密情報を取得可能」とのみ説明されていた。つまり、技術的な詳細が省略されており、リスクの全容はユーザーに伝えられなかった。

Synology がミドルウェア・コンポーネントを修正したことで、顧客側での対応は不要となった。しかし、セキュリティ専門家たちは、透明性の欠如/侵害の指標 (IoC) の未提供に加えて、影響を受ける組織へのダイレクト通知が行われなかった点を批判している。

今回のインシデントが浮き彫りにするのは、クラウド・サービスにおけるサプライチェーン攻撃の危険性と、テナント全体に及ぶ広範な権限がもたらされるリスクである。

研究者たちが強調するのは、単一の漏洩した資格情報が、数千の組織のセキュリティを危険にさらす可能性である。彼らは、クラウド・ベンダーによる透明性向上と積極的な顧客通知は、不可欠なものだと指摘している。

組織がクラウド・ソリューションへの移行を進める流れの中で、専門家は IT リーダーに促すのは、堅固な監視/ログ記録/インシデント対応体制などを整備し、機密データを預けるサードパーティ・ベンダーのセキュリティ体制を厳格に審査することだ。

Synology の Microsoft 365 向けバックアップ・ツールに、深刻な脆弱性が見つかりました。一つの設定ミスにより、多くの組織の大切な情報に影響が生じる可能性があったと、この記事は指摘しています。クラウド・サービスは便利ですが、その安全性はベンダーの仕組みに大きく左右されますね。ご利用のチームは、ご注意ください。よろしければ、カテゴリ Cloud と、Synology で検索も、ご参照ください。