Malwarebytesは6月23日(米国時間)、「Microsoft Azure AD flaw can lead to account takeover」において、Microsoft Azure Active Directory (Azure AD)に欠陥があるとして、注意を喚起した。「nOAuth」と名付けられた、アカウント乗っ取り(ATO: Account Takeover)の脆弱性が報告されている。
-
Microsoft Azure AD flaw can lead to account takeover
Azure ADのOAuth(Open Authorization)が不正利用され、アカウントの乗っ取りにつながる危険性があることがわかった。OAuthは、リソース所有者に対してクライアントやアプリケーションにサーバリソースへの安全なアクセス権限を提供するために使われている標準的な認証プロトコル。多くのWebサイトでOAuthが使われており、Facebook、Google、Twitter、Microsoft Azure ADなどのIDプロバイダ(Idp: Identity provider)を通じて他のWebサイトにログインすることができるようになっている。
Azure ADでもOAuthアプリを利用して、Microsoft 365、Azureポータルなどの外部リソースへのユーザーアクセスを管理できる。ただしこの部分に欠陥があるとされ、メールアドレスを一意の識別子として使われてしまう可能性があるという。乗っ取りたいWebサイトで「Microsoftでログイン」オプションを選ぶことにより、関連付けられたアカウントに自動的にログインされてしまう可能性があるといわれている。
この問題はすでにMicrosoftや他の関係者に連携されており、アカウント乗っ取りを防止するための対策が講られている。Microsoftでは開発者に対し、アクセストークンの一意識別子として「email」クレームを使用しないよう通知する文書が用意され、クレーム検証に関するページも公開されている。
Azure ADをIDプロバイダーとして使用しているWebサイトやサービスを運営している場合、Email属性を受け付けないよう確認することが推奨されている。電子メール要求は変更可能で未検証であるため、信頼性や識別子として使用すべきではないと述べている。
