2026年、Microsoftが「Entra ID」異例の仕様変更へ 企業への影響は?
クラウドサービスからの情報漏えいが止まらない。ユーザーの認証情報を盗み出し、それを使って別のサービスに入り込む悪循環が起きている。Microsoftはどうやってこれを止めるのだろうか。
クラウドサービスを狙ったサイバー攻撃が頻発している。特に目立つのがユーザーの認証情報を奪い、クラウドに保存されている顧客情報などを盗み出すといった事件だ。もはや数百万件の漏えいは珍しくない。
2025年に起きた160億件の漏えい事件
2025年に起きたGlobal Credential Collapseと呼ばれるサイバー攻撃は、最大規模の情報漏えいを引き起こした。サイバーセキュリティ研究者のジェレマイア・ファウラー氏がElasticsearchサーバに公開されたまま放置されていた9.9GBのデータ(1億8400万件の認証情報)を2025年5月に発見したことがサイバー犯罪の最初の証拠だった。2025年6月にはさらに大規模な漏えいが明らかになった。さまざまなクラウドサービスのアカウント情報(ユーザー名とパスワード)が160億件以上漏えいしていた。漏えいした情報には重複があるものの、単純計算では世界人口の2倍という規模だ。この攻撃では脆弱(ぜいじゃく)性ではなく、情報を窃取するマルウェアによる複数回の攻撃で得た情報を犯罪者が整理したものだと考えられている。漏えいした可能性があるサービスにはAppleやGoogle、Microsoft、Metaも含まれているという(キーマンズネット編集部)
クラウドサービスを狙う攻撃が激増していることを受けて、Microsoftが対策に乗り出した。クラウドサービスを利用する企業に大きな影響がある対策だ。
2026年、Microsoftが「Entra ID」異例の仕様変更へ 企業への影響は?
2025年11月24日(現地時間、以下同)にMicrosoftは、同社のクラウドID管理プラットフォーム「Entra ID」におけるログインプロセスを2026年10月から変更すると発表した(注1)。これにより、信頼できるMicrosoftのドメインから発信されたものでない限り、ログインの処理中に実行されるスクリプトがブロックされる。
Entra IDのアンカ・パテル氏(プロダクトマネジャー)はブログ投稿で次のように記した。
「攻撃者がWebサイトに悪意のあるコードを埋め込むクロスサイトスクリプティング(XSS)などのセキュリティリスクからユーザーを保護するための予防的な対策だ」
国家の支援を受けたサイバー攻撃によってMicrosoftのセキュリティ体制に構造的な弱点があると露呈したことを受けて(注2)、同社が2023年11月に発表した「Secure Future Initiative」の一環だ。
MicrosoftはWebブラウザのセキュリティ設定Content Security Policy(CSP)ヘッダーの変更によってスクリプトに関する制限を強制すると説明した(注3)。CSPヘッダーはWebブラウザに対して、どのコンテンツをどのように安全に扱うかを指示するためのコードだ。
このアップデートはWebブラウザ以外のアプリケーションでの認証を担う「Entra External ID」には適用されない。
Microsoftは円滑な展開を確保するために、変更に先立ってサインインプロセスを事前にテストするよう各組織に呼び掛けている。
長年放置されてきた脆弱性
ソフトウェア開発者はXSS攻撃のリスクを何十年も前から理解していたが、最新のツールで開発された現代のアプリケーションであっても、根本的な脆弱性が広く残っているため、攻撃者にとって魅力的であり続けている。
Microsoftは2025年9月のブログ投稿で「当社では、レガシーなポータルから新たに展開されたシングルページアプリケーションまで、各種サービスに関してXSSの報告が今も継続的に寄せられている」と述べた(注4)。同投稿によると、Microsoft Security Response Centerは、2024年1月から2025年半ばまでの間に、XSSに関する約1000件の脆弱性を緩和したという。
「Webブラウザのセキュリティやコンテンツセキュリティポリシー、セキュア・バイ・デフォルトなライブラリが進化しているにもかかわらず、XSSは現実世界で実害をもたらす、根強い攻撃経路であり続けている」(Microsoft)
出典:Microsoft tightens cloud login process to prevent common attack(Cybersecurity Dive)
注1:Enhance protection of Microsoft Entra ID authentication by blocking external script injection(Microsoft Entra Blog)
注2:Cyber Safety Review Board slams Microsoft security failures(TechTarget)
注3:Content Security Policy overview for Microsoft Entra ID(Microsoft)
注4:Why XSS still matters: MSRC’s perspective on a 25-year-old threat(Microsoft)
関連記事
Googleが明かす、クラウドセキュリティの「正解」と「不正解」
クラウドとAIの利用が進むにつれて、サイバー攻撃の脅威がますます深刻になってきた。問題はセキュリティの運用管理が複雑化する一方だということだ。簡素化・省力化する良い方法はないだろうか。Googleのセキュリティ専門家が脅威の実態と合わせて、その方法を解説した。
たったそれだけ? クラウドセキュリティのお寒い実態
広く普及したクラウドサービスには弱点がある。セキュリティ対策だ。サービス事業者に任せきりにできる部分はあるものの、ユーザー側の防御が不可欠だ。調査の結果、最低限の対策ができていない企業が残っていることが分かった。
クラウド利用の「99%」が危険 なぜそのようなことが言えるのか
セキュリティ企業の年次レポートによれば、クラウド利用者を狙うサイバー攻撃は、利用者側の「ある弱点」を突くのだという。このような弱点を持つ利用者は99%に達しており、さらに攻撃者が狙いやすい3つの特徴がある。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- リチウム電池も終了か 40年眠っていた、充電を爆速化する「古くて新しい電池」って?:866th Lap
- AIに書かせたコードはどこが「危ない」? プロがガチ採点して分かったこと
- 「国家資格で食える」はもう古い? 5年分の調査で見る、AWS、セキュリティに続く“次の資格”
- 正規認証が悪用される? Microsoft 365の権限を奪う「デバイスコードフィッシング」とは
- PC高騰、いつまで続く? IDCアナリストに聞く値上げ時代の賢いPC調達術
- AIアプリ開発「Dify」って結局何がすごいの? 機能、料金、ユースケースを徹底解説
- 会社の規則は穴だらけ? 誰も守ってくれない「無視されるITルール」【実態調査】
- 極悪なウソつきはGeminiかGPTか? 4つのAIモデルをガチ対戦させてみた結果:865th Lap
- 「RPAをお祭り騒ぎにはしない」三菱東京UFJ、RPAへの全力投球
- IT資格、給与アップや転職に本当に効果がある? 読者387人に人気資格を聞いた
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。