2025/12/01 CyberSecurityNews — Microsoft Azure API Management (APIM) 開発者ポータルに存在する深刻なセキュリティ脆弱性により、管理者がポータル・インターフェイス経由のユーザー・サインアップを明示的に無効化している場合であっても、攻撃者が異なるテナント・インスタンスをまたがってアカウントを登録する可能性がある。この脆弱性について、Microsoft が設計によるものと分類しており、2025年12月1日時点では修正されておらず、ユーザー組織においては不正アクセスの危険に晒される状況が続いている。
このセキュリティ問題は、Azure Portal UI でサインアップの無効化を指定しても、登録フォームが単に視覚的に非表示となるだけであり、基盤となる “/signup” API エンドポイントが完全に有効化を維持する設計上の欠陥に起因する。開発者ポータルに Basic 認証が設定されている場合は特に問題が顕在化し、バックエンド API はテナント境界の検証やリクエストの正当な発信元の確認を行わず、登録リクエストを受け付け続ける。
Microsoft Azure API Management の脆弱性
この脆弱性を悪用する攻撃者は、サインアップ・リクエスト内の Host ヘッダーを操作できる。この攻撃で必要となるのは、サインアップが有効化されている任意の APIM インスタンス (攻撃者が管理しているインスタンスを含む) へのアクセスである。そこで正当なサインアップ・リクエストを傍受する攻撃者は、Host ヘッダーを標的組織の APIM インスタンスを指すように改変することで、被害者のポータルでサインアップが無効化されている状況であってもアカウントを作成できる。
この脆弱性がもたらすセキュリティ・リスクとして挙げられるのは、Basic 認証が有効な APIM インスタンスにおけるテナント間でのアカウント作成/管理アクセス制御の完全な回避/機密性の高い API ドキュメントやサブスクリプション・キーの漏洩などである。公開登録を無効化していると認識している組織であっても、この攻撃ベクターに対して脆弱な状態を継続している可能性がある。
APIM インスタンスに UI 設定に依存しない Basic 認証が設定されており、開発者ポータルがデプロイされてアクセス可能であり、さらに、サービスが Developer/Basic/Standard/Premium のいずれかのレベルで実行されている場合において、この脆弱性の影響が生じる。
この脆弱性は CWE-284 (不適切なアクセス制御) に分類され、CVSS スコアは 6.5 で Medium〜High と評価されている。
フィンランドの Bounty Oy に所属するセキュリティ研究者 Mihalis Haatainen が、この脆弱性を 2025年9月30日に発見し、直ちに Microsoft Security Response Center (MSRC) に報告した。9月と 11月に提出された詳細レポートを検証した Microsoft は、この動作は仕様でありセキュリティ脆弱性には該当しないとして、2つのケースをクローズした。その後に、研究者は CERT-FI に問題を報告し、2025年11月26日に情報が公開された。
Microsoft は修正プログラムをリリースしていないため、ユーザー組織にとって必要なことは、APIM インスタンスを保護するための速やかな対策となる。最も重要な措置は、UI でのサインアップ無効化に加えて、Azure ポータルから Basic 認証 ID プロバイダーを完全に削除することである。
具体的には、APIM インスタンスに移動し、開発者ポータルの ID 設定にアクセスして、「ユーザー名とパスワード」の ID プロバイダーを完全に削除する必要がある。
追加の保護対策として挙げられるのは、適切なテナント境界を適用するために Azure Active Directory 認証への完全な切り替え/不正に作成された可能性のある既存の開発者ポータル・ユーザーアカウントの監査/サインアップ活動および API 呼び出しの継続的な監視などである。
セキュリティ・チームは、研究者が公開している Python 検証スクリプトと Nuclei テンプレートを利用し、組織内の脆弱なインスタンスを特定すべきである。
Azure API Management のサインアップ無効化設定が、実際には機能していないことが原因となり、UI では表示を隠すだけで基盤の API が無効化されないという状況が生じているようです。特に Host ヘッダーを書き換えるだけで別テナントの登録ができてしまう点は、アクセス制御が十分に働いていないことを示しており、とても危険な状況だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Azure での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.