マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処 | ScanNetSecurity
2025.12.04(木)

マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処

日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
382 views
facebookLINE
 日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

 同社では、Azure Active Directory(AD)の情報漏えいを引き起こす脆弱性(CVE-2021-42306)に対処するため、一部のAzure サービスによってプライベートキーのデータが、Azure Active Directory(Azure AD)アプリケーションまたはサービスプリンシパルのKeyCredentialsプロパティに格納されないよう修正し、既に保存されたKeyCredentialsプロパティのプライベートキーのデータへの読み取りを制限するよう、修正を実施した。

 KeyCredentialsプロパティは、アプリケーションの認証資格情報を構成するため使用され、アプリケーション メタデータへの読み取りアクセス権を持つ、組織のAzure ADテナント内の全てのユーザー、サービスがアクセスできる。KeyCredentialsプロパティは認証で使用するために、公開キー データを持つ証明書を受け入れるよう設計されているが、プライベートキーデータを持つ証明書がプロパティに正しく保存されていない可能性もあり、プライベートキーデータにアクセスすると、ユーザーが影響を受けるアプリケーションまたはサービス プリンシパルを偽装できるようにすることで特権の昇格攻撃を引き起こす。

 同社によると、一部の Microsoftのサービスでアプリケーションを作成時にkeyCredentialsプロパティにプライベートキーデータを正しく格納していないことが判明している。なお同社の調査では、プライベートキーデータに悪意のあるアクセスが行われた痕跡は無かった。

 本脆弱性の影響を受けるMicrosoft Azureサービスでは、keyCredentialsプロパティに平文のプライベートキー情報を保存できないようにすることで、問題に対処しており、またAzure ADでは、UIまたはAPIにユーザーまたはサービスによって以前に追加された平文のプライベートキーデータの読み取りを防止することで対処を行っており、これにて平文のプライベートキーデータへのアクセスは不可能となり、リスクが軽減されている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

    流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

  2. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  3. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  4. コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

    コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

  5. 大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

    大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP