Microsoft Entraの設計により、ゲストユーザーがAzureを乗っ取れる恐れ：研究者が報告

佐々山 Tacos

2025.05.29

Microsoft Entraの設計により、ゲストユーザーがAzureを乗っ取れる恐れ：研究者が報告

HackRead – May 28, 2025

マイクロソフトのEntra IDプラットフォームにおけるある危険な問題を利用した脅威シナリオ「Restless Guests」について、BeyondTrustの研究者が注意喚起。バグや脆弱性ではなくシステム自体の仕様に起因する問題だが、悪用されれば豊富な攻撃の機会が提供され得るという。

この問題は、ある組織のAzureテナントへ招待されたゲストユーザーが、そのテナントで直接的な管理者権限を持たずとも、特定の条件下のもとでは当該テナント内に新たなサブスクリプションを作成したり別のテナントから移動したりすることが可能になるというもの。このゲストユーザーは新規のサブスクリプションに関して「Owner」権限を得ることとなり、攻撃者はこれを利用してテナント内のほかの特権アカウントの名前やUPNを密かに閲覧したり、Azureポリシーを弱体化したり、ユーザー割り当てマネージド IDを作成したり、「Entra 参加済みデバイス」に見せかけたAzureリソースを作成したりすることができるようになる恐れがあるとされる。

組織は度々、外部のパートナーや協力者を「ゲストユーザー」として自身のAzure環境へ招待することがあり、通常、こうしたゲストには制限付きのアクセスが割り当てられる。しかしBeyondTrustによれば、ゲストがゲスト自身のホームテナント内で特定の課金ロールを有している場合、このゲストはその権限を利用してサブスクリプションを作成し、作成したサブスクリプションを自らが「ゲスト」として招待されているほかのテナントへ移動させることができるのだという。これにより、ゲストは作成／移動されたサブスクリプションの「オーナー」となり、対象テナント内のリソースを幅広くコントロールできるようになるとされる。

BeyondTrustが提示した具体的な攻撃シナリオの流れは以下の通り。

①攻撃者が、Azureのフリートライアルを利用するなどして自分自身のEntraテナントを作成する（攻撃者が無料でサインアップしたユーザーは課金アカウントの所有者となる）

②攻撃者が、ターゲットとなるEntraテナントへゲストユーザーとして招待される

③攻撃者はAzure Portalへログインして自身のホームディレクトリへ移動

④続いて「Subscriptions（サブスクリプション）」メニューから「+ Add（追加）」を選択する

⑤「Advanced（詳細設定）」タブから、ターゲットテナントのディレクトリを選択してサブスクリプションを作成

⑥作成されたサブスクリプションは、攻撃者自身のテナントではなくターゲット組織のテナントの「ルート管理グループ」配下に現れる

⑦攻撃者には当該サブスクリプションの「オーナー」ロールを自動的に割り当てられる

BeyondTrustの記事では、さらに詳しい解説に加え、このBeyondTrustの脅威から組織を守るための対策なども共有されている。なお同社はこの問題についてマイクロソフトに報告済みだが、同社は「想定された挙動」であると回答。各サブスクリプションがセキュリティ上の境界として機能しているほか、デフォルトではないものの攻撃を防ぐためのポリシーが存在しているなどと弁明したとのこと。

【無料配布中！】ディープ＆ダークウェブ関連レポート

弊社が作成したレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です！

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから：