Azure AD – IoT OT Security News

Azure AD の “appsettings.json” ファイルに注意：誤った公開より ClientId／ClientSecret などが漏洩

Azure AD Vulnerability Leaks Credentials, Lets Attackers Deploy Malicious Apps

2025/09/02 gbhackers — Azure Active Directory (Azure AD) の認証情報を取り込んだ ASP.NET Core の “appsettings.json” ファイルが公開されると、深刻な攻撃ベクターが発生し、ユーザー組織のクラウド環境への鍵を攻撃者に渡すことになり得る。先日に実施された、Resecurity HUNTER チームによるサイバー・セキュリティ評価において、公開されている “appsettings.json” ファイルにより、Azure AD アプリケーションの ClientId と ClientSecret が公開されていることが判明した。したがって、Microsoft の OAuth 2.0 エンドポイントに対して直接認証を行う攻撃者は、信頼されたアプリケーションとして振る舞えるようになる。

Microsoft Entra ID が進化：グループごとの Passkeys 詳細設定に対応

Microsoft Entra ID Expands Passkey (FIDO2) Authentication Methods for Public Preview

2025/06/19 CyberSecurityNews — Microsoft が発表したのは、Microsoft Entra ID (旧 Azure AD) におけるパスキー (FIDO2) 認証手段の拡充である。それにより、同社の IAM (identity and access manage) 機能がさらに強化される。この機能拡張の展開は、2025年10月中旬よりパブリック・プレビューとして段階的に開始され、11月中旬には全面的なものになると予定されている。今回のアップデートでは、グループ単位での詳細な Passkeys 設定が可能となり、エンタープライズ認証の安全性と柔軟性が大幅に向上する。

新規の脅威アクター Storm-0501：オンプレからクラウドに侵入して Microsoft 365 アカウントを狙う

Ransomware attackers hop from on-premises systems to cloud to compromise Microsoft 365 accounts

2024/09/30 HelpNetSecurity — RaaS (ransomware-as-a-service) 組織の１つである Storm-0501 が、標的のクラウドとオンプレミスの環境を侵害していることが確認された。9月26日に公開したブログで Microsoft は、「最新の脅威アクターである Storm-0501 は、企業のオンプレミス環境からクラウド環境へと移動するために、脆弱な認証情報や過剰な特権のアカウントを悪用していることが確認された。彼らは認証情報を盗み、それを使ってネットワークを制御し、最終的にクラウド環境への持続的なバックドア・アクセスを確立する。そして、オンプレミスにランサムウェアを展開していた」と詳述している。

OAuth アプリに関する Microsoft の警告：侵害されたアカウントで悪意のアプリを作成

Microsoft: OAuth apps used to automate BEC and cryptomining attacks

2023/12/12 BleepingComputer — Microsoft の警告は、金銭目的の攻撃者が OAuth アプリケーションを使用して、BEC 攻撃やフィッシング攻撃を自動化し、スパムをプッシュし、クリプト・マイニング用の VM を展開しているというものだ。OAuth (Open Authorization の略) とは、資格情報の代わりにトークンベースの認証と認可を介して、ユーザー定義のアクセス許可に基づいた、サーバ・リソースへの安全な委任アクセスを、アプリ対して許可するためのオープン・スタンダードである。

PyPI パッケージに漏れ出したシークレット情報：何千ものハードコードされた認証情報が存在

PyPI Packages Found to Expose Thousands of Secrets

2023/11/14 SecurityWeek — PyP Iパッケージにコミットされた Python コードを分析した結果において、何千ものハードコードされた認証情報が存在することが明らかになったと、コード・セキュリティ企業の GitGuardian が警告している。GitGuardian はセキュリティ研究者の Tom Forbes と共同で、約3,000の PyPI パッケージの中にある 4,000件ほどのユニークなシークレットを発見し、このうちの 760件以上が有効であると判明したとしている。

Microsoft を侵害した中国の Storm-0558：国務省から 60,000 通の電子メールを盗み出す

Microsoft Breach Exposed 60,000 State Department Emails

2023/09/29 InfoSecurity — Microsoft Outlook のアカウントを標的とした、中国の狡猾なサイバースパイ・キャンペーンにより、北京政府は数万通の米国政府の個人メールにアクセスすることができたと、あるレポートが報じている。Storm-0558 グループは、国務省の 10件のアカウントから、60,000 通の電子メールを盗み出したという。そのうちの９件のアカウントは、東アジア／太平洋の外交に携わる個人が使用していたものだと、上院スタッフが Reuters に語った。

中国のハッカー Storm-0558：Windows クラッシュダンプから署名キーを窃取と判明

Hackers stole Microsoft signing key from Windows crash dump

2023/09/06 BleepingComputer — 中国人ハッキング・グループ Storm-0558 は、Microsoft のエンジニアの企業アカウントを侵害した後に、Windows のクラッシュダンプから署名キーを盗み出し、政府機関の電子メール・アカウントに侵入していた。攻撃者は盗んだ MSA キーを使って、米国の国務省や商務省など含む、約 20の組織の Exchange Online／Azure Active Directory (AD) アカウントに侵入したとされる。Storm-0558 は、GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名されたアクセス・トークンを偽造し、標的である組織内のアカウントになりすましていた。

Microsoft Entra ID (Azure AD) で権限を昇格させる方法：専門家たちが手口を解明

Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege

2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。

Exchange をハッキングする中国の Storm-0558：米政府と Microsoft が共同で分析

US cyber safety board to analyze Microsoft Exchange hack of govt emails

2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。

Microsoft プラットフォームを攻撃する Azure AD 偽造トークン： Outlook 以外にも拡大している

Azure AD Token Forging Technique in Microsoft Attack Extends Beyond Outlook, Wiz Reports

2023/07/21 TheHackerNews — Microsoft のＥメールインフラに対する、中国の APT である Storm-0558 の攻撃だが、これまで考えられていたよりも、広範囲に及んでいることが、最近になって分かってきた。この攻撃の対象となっているのは、OneDrive／SharePoint／Teams などの個人アカウント認証をサポートする全てのアプリケーション、および、”Login with Microsoft functionality” をサポートするユーザー・アプリケーション、そして、特定の条件下でのマルチテナント・アプリケーションなどである。

Azure AD 署名キーが盗まれた方法：依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。

Microsoft Account コンシューマ署名キーの悪用：中国由来のハッカーが米政府の Eメールを侵害

Chinese hackers forged authentication tokens to breach government emails

2023/07/11 HelpNetSecurity — Microsoft Account (MSA) のコンシューマ署名キーを取得した高度なハッカーが、偽造した認証トークンを介して、政府の組織や機関の電子メール・アカウントにアクセスしていたことが、Microsoft により公表された。このインシデントに関連付けられる脅威アクターは、Microsoft が Storm-0558 と呼ぶ、中国を拠点とする敵対者である。この脅威アクターは、情報収集のために電子メール・システムにアクセスする、スパイ行為に重点を置いているとされる。

Grafana の深刻な脆弱性 CVE-2023-3128 が FIX：Azure AD 統合によるアカウント乗っ取りとは？

Grafana warns of critical auth bypass due to Azure AD integration

2023/06/24 BleepingComputer — Grafana がリリースした、複数のバージョン向けにセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものだ。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取り可能性が生じることになる。Grafanaは、広範に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供している。

Microsoft Azure AD の OAuth に深刻な問題：認証の目的での “email” クレーム使用は不可

Researchers Flag Account Takeover Flaw in Microsoft Azure AD OAuth Apps

2023/05/20 SecurityWeek — セキュリティ分野のスタートアップ Descope の研究者たちは、Microsoft Azure AD OAuth アプリケーションに存在する深刻なミスコンフィグレーションを発見し、”Log in with Microsoft” を使用している組織においては、アカウント乗っ取りの可能性が生じていると警告を発した。このセキュリティ上の欠陥は nOAuth と呼ばれ、Microsoft Azure AD のマルチ・テナント OAuth アプリケーションに影響を及ぼす、認証実装の欠陥だと説明されている。

Microsoft Azure ユーザーへの警告：侵害された Shared Key 認証がもたらす甚大な被害とは？

Microsoft Azure Users Warned of Potential Shared Key Authorization Abuse

2023/04/11 SecurityWeek — Azure Active Directory (Azure AD) の認証情報と同様に、Microsoft Azure Storage アカウントで利用できる認証方法には Shared Key があり、Azure のデフォルト・インフラの一部になっている。この Shared Key は、Azure AD と比較してセキュリティが劣るため、きめ細かいアクセスが必要な場合には、アクセスキーによるストレージ認証は非推奨とされている (組織がリスクにさらされる可能性があるため)。今回、Orca が発見した攻撃シナリオは、こうしたリスクを証明するものであり、Shared Key による認証を無効化する必要性を、セキュリティ・ベストプラクティスとして強調するものである。

Microsoft Exchange Online に計画変更：Azure AD CA への移行は 2024年まで延期

Microsoft delays Exchange Online CARs deprecation until 2024

2023/04/08 BleepingComputer — 今日に Microsoft は、Exchange Online における Client Access Rules (CAR) の非推奨化を１年延期し、2024年9月までにすると発表した。Microsoft 365 の管理者は、優先値／例外／アクション／条件などで構成される CAR を利用して、Exchange Online へのクライアント・アクセスを、様々な要素でフィルタリングしてきた。これらの要素には、クライアントの IP アドレスや認証タイプ／接続を確立するために使用する、プロトコル／アプリケーション／サービスなどが含まれる。これらは一度コンフィグレーションが行われると、組織内の Exchange Online リソースへのアクセス制御に役立つ。

多要素認証 (MFA) バイパス：３種類の侵入ベクターについて解説する

Cyberattackers Double Down on Bypassing MFA

2023/03/01 DarkReading — 企業が従業員や顧客に対して、より強固なセキュリティを企業が求めるにつれて、攻撃者たちは多要素認証 (MFA) の回避を進化させてきた。今週に発表された、サイバー・セキュリティ企業 LastPass におけるデータ漏洩や、２月の初めに発表されたソーシャルメディア・サービス Reddit における侵害のように、この種の侵害発生は、着実に増加している。

Microsoft 365 Defender の新機能：ランサムウェア／BEC の攻撃を自動で遮断

Microsoft announces automatic BEC, ransomware attack disruption capabilities

2023/02/24 HelpNetSecurity — 昨年に Microsoft は、企業向けのセキュリティ・スイートである Microsoft 365 Defender に、自動攻撃遮断機能を搭載すると発表した。水曜日に同社は、これらの機能を活用する組織は、ランサムウェアと BEC (Business Email Compromise) の攻撃という、２つの代表的なパターンを効果的に阻止すると明かした。

MFA 疲れを狙う攻撃：フィッシングで根負けさせ Microsoft／Cisco／Uber などを陥落

MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches

2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。多要素認証の普及に伴い、それらのを攻撃する際の構成要素の１つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。

Azure を侵害して Microsoft 365 ユーザーを狙う：ロシア APT29 の凄腕ぶり

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション／コミュニケーション／データストレージ／電子メールなどの、オフィスでの作業などを容易にする。

Microsoft Azure AD 認証がアップデート：期限付きパスコードの提供で高まる柔軟性

Microsoft updates Azure AD with support for temporary passcodes

2022/07/01 BleepingComputer — Azure Active Directory (Azure AD) の管理者による、期限付きのパスコードの発行が可能になった。このパスコードは、パスワードレス認証での新規登録や、Windows オンボーディング時において、また、認証情報や FIDO2 キー紛失などのアカウント復旧においても利用できる。 Microsoft は TAP (Temporary Access Pass) と表現しているが、Azure ポータルからAzure AD の認証方式ポリシーで TAP を有効にすると、(初回サインアップ時やデバイスのセットアップ時に) 認証情報を登録するために利用できるようになる。

Microsoft が Azure AD 全テナントに対して Security Defaults を有効化

Microsoft to force better security defaults for all Azure AD tenants

2022/05/27 BleepingComputer — Microsoft の発表によると、すべての既存 Azure Active Directory (Azure AD) テナントにおいて、厳格なセキュリティ設定である Security Defaults を、2022年6月下旬には自動的に有効にするとのことだ。2019年10月に、新規テナントのみに対して導入された Security Defaults は、IT チームを持たない組織であっても、最小限の労力で優れた ID セキュリティ衛生を導入できるように設計された、一連の基本的なセキュリティ機構である。

Tag: Azure AD