Akamaiとマイクロソフト、未修正の脆弱性「BadSuccessor」の深刻度で意見が一致せず

nosa

2025.05.26

5月24〜26日：サイバーセキュリティ関連ニュース

Akamaiとマイクロソフト、未修正の脆弱性「BadSuccessor」の深刻度で意見が一致せず

SecurityWeek – May 22, 2025

AkamaiのセキュリティチームがWindows Server 2025に存在する欠陥「BadSuccessor」の詳細なエクスプロイト情報を公開し、脆弱性開示のあり方に新たな議論を巻き起こしている。

このバグは修正されていない権限昇格の脆弱性で、Active Directory内の任意ユーザーの侵害を可能にするもの。Akamaiの研究員Yuval Gordon氏が公開したブログ記事によると、同社は4月1日にマイクロソフトへ通知し、セキュリティレスポンスセンターがこの欠陥の存在を確認したものの、「中程度」の深刻度で「将来的に」修正される問題として軽視されたという。この通知には、あまり知られていないサービスアカウント移行機能を重大なセキュリティリスクに変えるPoCコードも記されていたようだ。

Gordon氏によると、この脆弱性はServer 2025で導入されたまったく新しいアカウントクラスの委任管理サービスアカウント（dMSA）にある。dMSAは問題の多い従来のサービスアカウントに代わるものとされ、これを利用してアカウントを移行すると、後継アカウントには元のアカウントが持っていた権限すべてが継承される。しかし、このアカウント移行プロセスをシミュレートし、システムに正当な移行が行われたと信じ込ませることが可能なのを同氏が発見。5月21日に公開されたAkamaiのブログ記事において、この手法を使って正当な後継とみなされる新たなdMSAを権限のないユーザーが作成できる手順を示した。

Akamaiが顧客テレメトリを調査したところ、91％の環境において、組織単位（OU）内で管理者以外のユーザーの少なくとも1人が問題のCreate-Child権限を既に保持していることがわかっている。Gordon氏は、これらの権限があればdMSAを有効化するのに十分であるものの、攻撃者が「アクセス権限の昇格を示す特定の権限」を必要とすることを理由に、マイクロソフトが深刻度を下げたと指摘した。

責任ある情報開示というテーマにおいて、パッチ公開前の開示についてはさまざまな意見が飛び交っており、Akamaiの発表も賛否が分かれている。公式パッチがリリースされていない現在、Akamaiは検出クエリとログ記録ガイダンス、さらにdMSAの作成可能なプリンシパルを特定するスクリプトを公開している。

設定ミスでデータベースが露出、インフォスティーラーで集めたと思われる1億8,400万件のメールアドレスとパスワードが公開状態に

HackRead – May 22, 2025

サイバーセキュリティ研究者Jeremiah Fowler氏により、設定ミスで保護されていないクラウドサーバーが発見された。このデータベースのサイズは約47.42GBで、情報窃取型マルウェア（インフォスティーラー）を使って収集されたと思われる1億8,400万件ものログイン認証情報が入っていたという。

保存されていた機微情報は多くのオンラインサービスのものとされ、主要なEメールプロバイダー、マイクロソフトなどの主要テクノロジープラットフォーム、Facebook、Instagram、Snapchat、Robloxといったソーシャルメディアサイトが含まれる。また、ほかにも銀行口座や医療プラットフォーム、各国政府ポータルへのアクセス情報が含まれ、何も知らない無数の個人を大きなリスクにさらしていた。

Fowler氏はこのデータベースで見つかったメールアドレスの所有者に連絡を取り、一部の記録の真正性を確認。ホスティングプロバイダーにもすぐに通知し、データベースへの一般アクセスを遮断した。データベースが公開状態になっていた期間や、発見される前に悪意のある第三者がアクセスしていたのかどうかはわかっていない。

ホスティングプロバイダーが顧客情報を明らかにしておらず、データ収集の目的は犯罪行為なのか、それとも監視下での正当な研究なのかは不明となっている。しかしFowler氏の分析によると、データの多くはLummaのようなインフォスティーラーが集める情報と完全に一致しているため、データベースの所有者はサイバー犯罪者で、データ抽出の過程で自ら露出させてしまった可能性が高いとみられている。