マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処 | ScanNetSecurity
2026.06.25(木)

マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処

日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
382 views
facebookLINE
 日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

 同社では、Azure Active Directory(AD)の情報漏えいを引き起こす脆弱性(CVE-2021-42306)に対処するため、一部のAzure サービスによってプライベートキーのデータが、Azure Active Directory(Azure AD)アプリケーションまたはサービスプリンシパルのKeyCredentialsプロパティに格納されないよう修正し、既に保存されたKeyCredentialsプロパティのプライベートキーのデータへの読み取りを制限するよう、修正を実施した。

 KeyCredentialsプロパティは、アプリケーションの認証資格情報を構成するため使用され、アプリケーション メタデータへの読み取りアクセス権を持つ、組織のAzure ADテナント内の全てのユーザー、サービスがアクセスできる。KeyCredentialsプロパティは認証で使用するために、公開キー データを持つ証明書を受け入れるよう設計されているが、プライベートキーデータを持つ証明書がプロパティに正しく保存されていない可能性もあり、プライベートキーデータにアクセスすると、ユーザーが影響を受けるアプリケーションまたはサービス プリンシパルを偽装できるようにすることで特権の昇格攻撃を引き起こす。

 同社によると、一部の Microsoftのサービスでアプリケーションを作成時にkeyCredentialsプロパティにプライベートキーデータを正しく格納していないことが判明している。なお同社の調査では、プライベートキーデータに悪意のあるアクセスが行われた痕跡は無かった。

 本脆弱性の影響を受けるMicrosoft Azureサービスでは、keyCredentialsプロパティに平文のプライベートキー情報を保存できないようにすることで、問題に対処しており、またAzure ADでは、UIまたはAPIにユーザーまたはサービスによって以前に追加された平文のプライベートキーデータの読み取りを防止することで対処を行っており、これにて平文のプライベートキーデータへのアクセスは不可能となり、リスクが軽減されている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. KDDIのISP事業者向けメールシステムに不正アクセス、最大1,422万件のメールアドレス・パスワードが漏えいした可能性

    KDDIのISP事業者向けメールシステムに不正アクセス、最大1,422万件のメールアドレス・パスワードが漏えいした可能性

  2. 廃棄処理業者に破砕処分を委託したハードディスクが外部に流出

    廃棄処理業者に破砕処分を委託したハードディスクが外部に流出

  3. 「WebARENA 大容量ファイル転送機能」への不正アクセス、提供再開は2026年12月頃を目途

    「WebARENA 大容量ファイル転送機能」への不正アクセス、提供再開は2026年12月頃を目途

  4. Fortinet製品に関連する認証情報の漏えいに注意を呼びかけ

    Fortinet製品に関連する認証情報の漏えいに注意を呼びかけ

  5. 日本製鉄ホームページで不審な認証画面

    日本製鉄ホームページで不審な認証画面

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP