本当はこわい Guest アカウント | ScanNetSecurity
2026.07.05(日)

本当はこわい Guest アカウント

 講演はいきなりデモで始まった。新規案件や合同プロジェクトでよくあるシステムアカウントへの招待メールの画面だ。招待に応じると、空のダッシュボード画面になる。Guest アカウントなので当然だ。だが、デモはここで終わらない。次に SQL サーバーや Azure のリソースを表示させてみる。キー値形式のクレデンシャル情報やアカウントのデータベースにもアクセスした。どうなっているのか。

研修・セミナー・カンファレンス セミナー・イベント
Guestアカウントでも、このようなクレデンシャル情報を見ることができる
Guestアカウントでも、このようなクレデンシャル情報を見ることができる 全 3 枚 拡大写真

 企業システムに「Guest」アカウントが設定されることがある。来客用の便宜のために設けることもあるが、業種によっては外注先、プロジェクトパートナーとのミーティングや資料共有のためにも使われる。当然権限は制限され内部システムにはアクセスできないはずだが…

● Guest アカウントで Azure リソース見放題

 尖ったセキュリティカンファレンスでは、Guestアカウントのハッキング、アクセス制御のバイパス、権限昇格などの PoC や脆弱性が公開されることがある。2023 年の Blackhat USA では、Teams ミーティングとノーコードツール(PowerApps)を利用した Guest アカウントのハッキングが披露された。

 発表したのは、マイケル・バーグリィ氏。Zenity というノーコードツールやシステムを研究開発するベンダーの CTO だ。Zenity 自体は規模の大きい会社ではないが、バーグリィ氏はOWASP Top 10 のうちローコード/ノーコードのリスクに関するグループ(OWASP Top 10 LCNC)のリーダーであり、Blackhat、DEFCON の常連でもある。

 講演はいきなりデモで始まった。新規案件や合同プロジェクトでよくあるシステムアカウントへの招待メールの画面だ。GitLab など開発レポジトリの招待メールでももらうような見慣れたものだ。企業案件の場合、外部パートナーや取引先には、開発元のシステムにアクセスできるように Guest アカウントを用意し、その招待メールを送ることがある。

 招待に応じると、空のダッシュボード画面になる。Guest アカウントなので当然だ。だが、デモはここで終わらない。次に SQL サーバーや Azure のリソースを表示させてみる。キー値形式のクレデンシャル情報やアカウントのデータベースにもアクセスした。どうなっているのか。

Guest アカウントでクレデンシャル情報を閲覧

《中尾 真二( Shinji Nakao )》

この記事の写真

/

関連ニュース

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  5. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

ランキングをもっと見る
PageTop