ManageEngine AD360 Integration Flaw Exposes User Identity and Role Information to Attackers
2026/06/25 CyberSecurityNews — ManageEngine が開示した深刻度 High の脆弱性 CVE-2026-11374 は、AD360 との統合において、同社の複数のアイデンティティおよびアクセス管理ソリューションに影響を及ぼすものである。この欠陥を突く未認証の攻撃者は、Single Sign-On (SSO) トークンを予測し、アカウント乗っ取りや高機密性のユーザー情報の露出を引き起こす恐れがある。

この問題が影響を及ぼす範囲は、ManageEngine AD360 環境内にデプロイされた ADSelfService Plus/RecoveryManager Plus/M365 Manager Plus/ADAudit Plus となる。
これらのツールは、ID ガバナンス/Active Directory の管理と監査/Microsoft 365 の管理のために、エンタープライズ・ネットワーク全体で広く使用されている。そのため、脆弱性 CVE-2026-11374 により、大規模デプロイメントに大きな影響が生じる。
ManageEngine AD360 統合の欠陥
この脆弱性は、セキュリティ研究者 0xmanhnv により、Zoho BugBounty プログラムを通じて報告された。ManageEngine は、責任ある開示を行った研究者に謝意を示している。
同社のアドバイザリによると、この脆弱性は認証時の SSO チケット生成に存在する弱点に起因する。ユーザーが AD360 の SSO を介してログインすると、システムはセッションを検証するためのトークンを発行する。
しかし、研究者は未認証の攻撃者が、これらのトークンを予測できることを発見した。この予測可能性により、攻撃者は正規の認証情報を必要とせず、有効なセッション・トークンを作成できるようになる。この欠陥が悪用されると、攻撃者はユーザーになりすまし、システムへの不正アクセスを達成する可能性がある。
このようなシナリオにおける攻撃者は、ユーザーの ID 詳細およびロールベースのアクセス情報を取得する可能性を得る。侵害されたアカウントに応じて、これらの情報が権限昇格に悪用される可能性もある。
センタライズされたアイデンティティ・ハブとして AD360 が機能する環境では、1 回の攻撃の成功を通じて複数の統合サービスが露出する可能性があるため、さらにリスクが深刻化する。
前述のとおり、攻撃者は有効な SSO トークンを生成し、ADAudit Plus の監査ログおよび管理データに不正アクセスする可能性を手にする。これにより、組織内部の偵察やラテラル・ムーブメントが引き起こされる恐れがある。
この脆弱性が影響を及ぼす具体的な範囲は、以下のとおりである。
- ADSelfService Plus バージョン 6528 以前
- RecoveryManager Plus バージョン 6320 以前
- M365 Manager Plus バージョン 4816 以前
- ADAudit Plus バージョン 8702 以前
すでに ManageEngine は、2026年6月3日から 6月12日にかけて、この問題に対処するパッチを後続バージョンとしてリリースしている。ManageEngine は、SSO チケット生成メカニズムを強化し、予測不能なトークンを実現することで、このリスクを緩和している。
影響を受ける製品を使用している組織に対して強く推奨されるのは、最新のサービス・パックを速やかに適用し、環境を保護することだ。
セキュリティ・チームは、このパッチ適用に加えて、異常な SSO アクティビティの有無を認証ログで監視し、重要なアカウントにおけるアクセス権限を確認すべきである。アクセス制御を強化し、アイデンティティ・サービスの露出を制限することで、悪用リスクをさらに低減できる。
訳者後書:複数の認証管理ソフトを束ねる AD360 統合環境において、利用者を識別するための SSO トークンが推測されてしまう弱点 (CVE-2026-11374) が見つかりました。この問題の背景には、ログイン時に発行される内部トークンの生成ManageEngine has disclosed a high-severity vulnerability, tracked as CVE-2026-11374, affecting several of its identity and access management solutions when integrated with AD360.
You must be logged in to post a comment.