Entra IDで大規模なアカウントロックアウトが発生 原因は新機能か?:セキュリティニュースアラート
Microsoft Entra IDで大規模なアカウントロックアウトが発生し、多数の管理者が対応に追われている。原因は新機能「MACE Credential Revocation」によるもので、多要素認証済みのアカウントも被害を受けた。
コンピュータ情報サイト「Bleeping Computer」は2025年4月19日(現地時間)、「Microsoft Entra ID」(旧「Azure Active Directory」)での新機能「MACE Credential Revocation」公開に起因するとみられる、広範囲なアカウントロックアウトが発生していると報じた。
Entra IDで続出するアカウントロック 公式からの声明は発表されず
Microsoft Entra IDは、企業向けのクラウドベースID・アクセス管理プラットフォームで、ユーザーの認証やリソースへのアクセス制御に利用されている。今回問題となったMACE Credential Revocationは、漏えいした可能性のある資格情報を検出し、自動的に対象アカウントを無効化するセキュリティ機能だ。
Bleeping Computerによると、この機能の展開以降、SNS「Reddit」上でシステム管理者による大量のアカウントロックアウト報告が相次いでいるという。投稿によれば、影響を受けたアカウントは多要素認証(MFA)で保護されており、不審なアクセスの痕跡は確認されていない。また、外部の漏えい情報通知サービス「Have I Been Pwned」にも一致する情報は確認できなかった。
複数の管理者が、自組織のMicrosoft Entra IDのテナント内に新たなエンタープライズアプリケーション「MACE Credential Revocation」が追加されていたことを確認している。アクティビティーログでは同アプリケーションが特定ユーザーに対し、情報の更新アクションを実行していたことが判明している。
Microsoftからの公式声明は現時点で出ていないが、一部の影響を受けた管理者は、Microsoftサポートから「MACE ninja rollout」と呼ばれる展開に起因する問題であるとの説明を受けたと主張している。
加えて、同問題が「Error Code: 53003」と関連し、コンディショナルアクセスのポリシー設定と関係している可能性があるとの主張もあった。Redditではマネージドサービスプロバイダー(MSP)や検知と対応のマネージドサービス(MDR)からも多数のアラート報告が上がっており、あるプロバイダーは一晩で2万件以上のアラートを受信したとしている。
Microsoftからの公式な説明やガイダンスは確認されておらず、管理者は当面の間、Microsoft Entra IDにおけるリスクアラートやアプリケーション追加の履歴を継続的に監視する必要がありそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を
Fortinet製デバイス1万6000台以上がシンボリックリンク型バックドアによる侵害を受けたことが分かった。攻撃者は既知の複数の重大な脆弱性を悪用し、SSL-VPNの言語ファイル配信フォルダにリンクを作成して永続的アクセスを得ている。
Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を
Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。
Fortinet製品のゼロデイ脆弱性がダークWebに流出か?
ThreatMonはFortiGateに影響を及ぼすゼロデイ脆弱性がダークWebで取引されていると報告した。この脆弱性により、認証しなくても遠隔からコードを実行でき、管理者情報やネットワーク構成が漏えいしている。
Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ
Appleが提案したTLS証明書の有効期間短縮案「SC-081v3」が正式に可決した。最大398日だった有効期間は段階的に短縮され、2028年以降は47日となる。