Entra IDで大規模なアカウントロックアウトが発生　原因は新機能か？：セキュリティニュースアラート

　Microsoft Entra IDは、企業向けのクラウドベースID・アクセス管理プラットフォームで、ユーザーの認証やリソースへのアクセス制御に利用されている。今回問題となったMACE Credential Revocationは、漏えいした可能性のある資格情報を検出し、自動的に対象アカウントを無効化するセキュリティ機能だ。

　Bleeping Computerによると、この機能の展開以降、SNS「Reddit」上でシステム管理者による大量のアカウントロックアウト報告が相次いでいるという。投稿によれば、影響を受けたアカウントは多要素認証（MFA）で保護されており、不審なアクセスの痕跡は確認されていない。また、外部の漏えい情報通知サービス「Have I Been Pwned」にも一致する情報は確認できなかった。

　複数の管理者が、自組織のMicrosoft Entra IDのテナント内に新たなエンタープライズアプリケーション「MACE Credential Revocation」が追加されていたことを確認している。アクティビティーログでは同アプリケーションが特定ユーザーに対し、情報の更新アクションを実行していたことが判明している。

　Microsoftからの公式声明は現時点で出ていないが、一部の影響を受けた管理者は、Microsoftサポートから「MACE ninja rollout」と呼ばれる展開に起因する問題であるとの説明を受けたと主張している。

　加えて、同問題が「Error Code: 53003」と関連し、コンディショナルアクセスのポリシー設定と関係している可能性があるとの主張もあった。Redditではマネージドサービスプロバイダー（MSP）や検知と対応のマネージドサービス（MDR）からも多数のアラート報告が上がっており、あるプロバイダーは一晩で2万件以上のアラートを受信したとしている。

　Microsoftからの公式な説明やガイダンスは確認されておらず、管理者は当面の間、Microsoft Entra IDにおけるリスクアラートやアプリケーション追加の履歴を継続的に監視する必要がありそうだ。