マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処 | ScanNetSecurity
2026.07.15(水)

マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処

日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

 同社では、Azure Active Directory(AD)の情報漏えいを引き起こす脆弱性(CVE-2021-42306)に対処するため、一部のAzure サービスによってプライベートキーのデータが、Azure Active Directory(Azure AD)アプリケーションまたはサービスプリンシパルのKeyCredentialsプロパティに格納されないよう修正し、既に保存されたKeyCredentialsプロパティのプライベートキーのデータへの読み取りを制限するよう、修正を実施した。

 KeyCredentialsプロパティは、アプリケーションの認証資格情報を構成するため使用され、アプリケーション メタデータへの読み取りアクセス権を持つ、組織のAzure ADテナント内の全てのユーザー、サービスがアクセスできる。KeyCredentialsプロパティは認証で使用するために、公開キー データを持つ証明書を受け入れるよう設計されているが、プライベートキーデータを持つ証明書がプロパティに正しく保存されていない可能性もあり、プライベートキーデータにアクセスすると、ユーザーが影響を受けるアプリケーションまたはサービス プリンシパルを偽装できるようにすることで特権の昇格攻撃を引き起こす。

 同社によると、一部の Microsoftのサービスでアプリケーションを作成時にkeyCredentialsプロパティにプライベートキーデータを正しく格納していないことが判明している。なお同社の調査では、プライベートキーデータに悪意のあるアクセスが行われた痕跡は無かった。

 本脆弱性の影響を受けるMicrosoft Azureサービスでは、keyCredentialsプロパティに平文のプライベートキー情報を保存できないようにすることで、問題に対処しており、またAzure ADでは、UIまたはAPIにユーザーまたはサービスによって以前に追加された平文のプライベートキーデータの読み取りを防止することで対処を行っており、これにて平文のプライベートキーデータへのアクセスは不可能となり、リスクが軽減されている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

ランキングをもっと見る
PageTop