Active Directory および Entra ID 環境における新しい認証バイパス

先週ラスベガスで開催されたBlack Hatイベントにおいて、ハッカーでありセキュリティ研究者であり、Outsider Securityの創設者でもあるDirk-jan Mollema氏が、ハイブリッドActive Directory（AD）とEntra ID環境における認証バイパスの手法を概説しました。これらの手法が成功すれば、攻撃者は特権アカウントを含む、同期されたハイブリッドユーザーになりすますことが可能になります。

モレマ氏はプレゼンテーションの冒頭で次のように述べました。「ハイブリッド環境において、Active DirectoryとEntra IDの間にセキュリティ境界は存在するのでしょうか？ この質問への答えは、依然としてやや不明確ではありますが、ここ数年で変化してきました。これは、『クラウド』がオンプレミスのデータをどの程度信頼するかという点が厳格化されてきたためです。その理由は、APT（Advanced Persistent Threat：高度で持続的な脅威）を含む多くの脅威アクターが、既知のラテラルムーブメント手法を用いて、Active Directoryからクラウドに侵入してきたためです。」

Active DirectoryとEntra IDの弱点を理解する

あるデモでは、モレマ氏は、権限の低いクラウドアカウントをハイブリッドユーザーに変換し、その過程で警告を発することなく管理者権限を付与する方法を示しました。また、特定の条件下で内部APIポリシーを変更し、アクセス制御をバイパスする方法も実演しました。

しかし、脆弱性はそれだけではありません。Microsoft Exchangeとのハイブリッド構成を悪用することで、ハッカーは事実上あらゆるExchangeメールボックスを偽装し、最終的にはその中のすべてのメール、ドキュメント、添付ファイルにアクセスできるようになります。

Microsoftはこれらの脆弱性を以前から認識しており、グローバル管理者のセキュリティ強化や同期アカウントからの特定のAPI権限の削除など、より深刻な脆弱性に対処するためのパッチをリリースしてきました。しかし、この脆弱性は、MicrosoftのハイブリッドExchangeサービスとEntra IDサービスが2025年10月に分離されるまで完全には解決されません。

Active DirectoryとEntra ID環境の保護

その間、Microsoft Exchange ユーザーは、次のセキュリティ対策を実施することでリスクを最小限に抑えることができます。

• すべての同期サーバーを監査します。
• ハードウェア キー ストレージの実装。
• 異常な API 呼び出しを監視します。
• Microsoft Exchange 内でハイブリッド アプリケーション分割を有効にします。
• シングル サインオン (SSO) キーを定期的にローテーションします。
• ユーザーを必要な権限のみに制限します。

ハイブリッド時代に警戒を怠らない

ハイブリッド環境の強さは、最も弱い部分によって決まります。Microsoft がサービス分離を完了するまでは、これらの AD および Entra ID の脆弱性に対する最善の防御策は、一貫したサーバーログ監査、プロアクティブな API 監視、そして全体にわたる最小権限アクセスポリシーの維持です。

ハイブリッド時代のセキュリティは、次のパッチを待つだけではありません。ハッカーの一歩先を行き、常に警戒を怠らないことも重要です。

ブラックハットのさらなる報道

• Black Hat 2025：セキュリティ研究者がサイバー犯罪の進化を解説…そしてAIがゲームをどう変えるのか
• マイクロソフトのサイバーセキュリティ脅威に対するリアルタイム戦争の内幕
• サイバー専門家を夜も眠れぬ状態にさせるものは何なのか？TechRepublicがBlack Hat 25の内部を調査
• Cisco Talos の研究者が LLM のトレーニングデータを公開する方法を明らかに
• 元ニューヨーク・タイムズのサイバー記者がブラックハットで恐ろしい警告を発する