マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処 | ScanNetSecurity
2026.02.04(水)

マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処

日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
382 views
facebookLINE
 日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

 同社では、Azure Active Directory(AD)の情報漏えいを引き起こす脆弱性(CVE-2021-42306)に対処するため、一部のAzure サービスによってプライベートキーのデータが、Azure Active Directory(Azure AD)アプリケーションまたはサービスプリンシパルのKeyCredentialsプロパティに格納されないよう修正し、既に保存されたKeyCredentialsプロパティのプライベートキーのデータへの読み取りを制限するよう、修正を実施した。

 KeyCredentialsプロパティは、アプリケーションの認証資格情報を構成するため使用され、アプリケーション メタデータへの読み取りアクセス権を持つ、組織のAzure ADテナント内の全てのユーザー、サービスがアクセスできる。KeyCredentialsプロパティは認証で使用するために、公開キー データを持つ証明書を受け入れるよう設計されているが、プライベートキーデータを持つ証明書がプロパティに正しく保存されていない可能性もあり、プライベートキーデータにアクセスすると、ユーザーが影響を受けるアプリケーションまたはサービス プリンシパルを偽装できるようにすることで特権の昇格攻撃を引き起こす。

 同社によると、一部の Microsoftのサービスでアプリケーションを作成時にkeyCredentialsプロパティにプライベートキーデータを正しく格納していないことが判明している。なお同社の調査では、プライベートキーデータに悪意のあるアクセスが行われた痕跡は無かった。

 本脆弱性の影響を受けるMicrosoft Azureサービスでは、keyCredentialsプロパティに平文のプライベートキー情報を保存できないようにすることで、問題に対処しており、またAzure ADでは、UIまたはAPIにユーザーまたはサービスによって以前に追加された平文のプライベートキーデータの読み取りを防止することで対処を行っており、これにて平文のプライベートキーデータへのアクセスは不可能となり、リスクが軽減されている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. “我々はもはやサイバーセキュリティの仕事をしているのではない”

    “我々はもはやサイバーセキュリティの仕事をしているのではない”

  2. 成果報酬型の脆弱性診断サービス登場

    成果報酬型の脆弱性診断サービス登場

  3. 通行中の市民がごみステーションで生活保護受給者の申請書を発見

    通行中の市民がごみステーションで生活保護受給者の申請書を発見

  4. AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催

    AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催

  5. エフエム東京へのサイバー攻撃指摘する SNS 投稿、データの一部が流出した事実はあるが機密性の高い情報は含まれず

    エフエム東京へのサイバー攻撃指摘する SNS 投稿、データの一部が流出した事実はあるが機密性の高い情報は含まれず

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP