Microsoft Entra ID の脆弱性 CVE-2025-55241 が FIX:Global Admin への成りすましが可能だった

Critical Microsoft’s Entra ID Vulnerability Allows Attackers to Gain Complete Administrative Control

2025/09/18 CyberSecurityNews — Microsoft の Entra ID に存在する、深刻な脆弱性 CVE-2025-55241 を悪用する攻撃者は、Microsoft のグローバル・クラウド・インフラ内の任意のテナントの、完全な管理権限を取得できる可能性があった。この脆弱性は、従来からの認証メカニズムと API 検証エラーの組み合わせに起因するものであり、2025年9月の Patch Tuesday のタイミングで修正されている。なお、この問題は、最も影響力の大きい脆弱性だと、研究者たちが評するものである。

Dirk-jan Mollema の詳細な報告によると、攻撃者は自身のテナントの特殊なトークンを悪用して、他の顧客のテナント内の任意のユーザー (グローバル管理者を含む) に、成りすます可能性を得ていたという。

Microsoft Entra ID の脆弱性

攻撃シナリオとして、以下2つの主要コンポーネントの悪用が考えられる。

  1. Actor Tokens:Microsoft サービスが、ユーザーに代わって相互通信するために使用する文書化されていない内部用トークンのことである。これらは、条件付きアクセスなど標準的なセキュリティ・ポリシーの対象外である。
  2. Azure AD Graph API の脆弱性:旧バージョンの Azure AD Graph API は、受信した Actor トークンの発行元が、オリジナル・テナントであることを、適切に検証できなかった。

この検証エラーにより、攻撃者のラボ環境でリクエストされたトークンが、別組織のテナントを攻撃するために悪用される可能性があった。

その攻撃者は Global Admin に成りすまし、テナント設定変更/ID の作成と乗っ取り/権限付与などの、無制限のアクセス権を取得できる状態にあった。

この制御は、Exchange Online/SharePoint Online などの、Microsoft 365 サービス全般および Azure 上の全リソースに拡張される。

この脆弱性の性質上、そのステルス性は極めて危険である。悪意のトークンをリクエストして使用しても、被害テナントにログは生成されない。したがって攻撃者は、痕跡を残すことなく、以下のような機密情報を盗み出せる。

  • ユーザー情報と個人情報
  • グループ・メンバーシップと管理者ロール
  • テナント・コンフィグとセキュリティ・ポリシー
  • アプリケーション・データとサービス・プリンシパル・データ
  • デバイス情報と BitLocker 回復キー

データ読取は痕跡を残さないが、新しい管理者の追加などのオブジェクト変更は監査ログを生成する。しかしログには、Office 365 Exchange Online などの Microsoft サービス名で、偽装 Admin のユーザー名が表示されるため、この攻撃に対する知識がなければ、容易に見落とす可能性があると Mollema は指摘する。

攻撃者が必要とするのは、標的の公開テナント ID と、有効な内部ユーザー識別子 (netId) のみである。研究者たちが指摘するのは、ブルートフォースあるいは、B2B 信頼関係を持つテナント間での “ホッピング” で、NetID が発見され得るというものだ。したがって、クラウド全体で、侵害が指数関数的に拡大する危険性があったとしている。

2025年7月14日の時点で研究者たちは、Microsoft Security Response Center (MSRC) へ報告し、7月17日以前に Microsoft は、グローバル修正を導入した。

さらに8月には、Azure AD Graph API が Actor トークン・リクエストを行わないようにするための、追加の緩和策が展開された。

Microsoft の社内テレメトリ調査では、悪用の形跡は確認されていないという。その一方で研究者たちは、組織が潜在的侵害の兆候を確認するための、Kusto クエリ言語 (KQL) 検出ルールを提供している。

Microsoft Entra ID に存在していた、深刻な脆弱性について解説する記事です。その原因は、認証メカニズムと API 検証の不備にありました。内部的に使われる Actor トークンが、十分に発行元確認されないまま受け入れられてしまうという問題がありました。その結果として、攻撃者は他の組織の管理者に成りすまし、広範囲にわたる権限を得る可能性があったと、この記事は指摘しています。この脆弱性は、2025年9月の Patch Tuesday のタイミングで修正されていますが、ユーザー・サイドでの対応は不要です。CVE-2025-55241 が付与されたのは、透明性のためだと、Microsoft は述べています。よろしければ、Entra ID で検索も、ご参照ください。