SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

Microsoftアカウントにユーザー乗っ取りの脆弱性、11月の更新で対策済み

 Microsoft Azureアカウント、およびMicrosoftアカウントに、アカウントの乗っ取りを可能にする脆弱性「BlackDirect」が存在することが明らかになった。BlackDirectは、イスラエルのセキュリティ企業CyberArkの研究者によって発見され、10月にマイクロソフトに報告されており、マイクロソフトは11月の更新パッチで当該の脆弱性を修正している。

 BlackDirectの原因となっていたのは、マイクロソフトのOAuthアプリケーションに関連する不具合で、一部のアプリケーションがOAuth認証の際に使用するホワイトリストのサブドメインが誰でも利用できる状態になっており、攻撃者によるアクセストークンの発行が可能になっていた。

 攻撃者は、アクセストークンを発行するためのURLをクリックさせたり、あらかじめ用意したWebサイトにアクセスさせたりすることによってトークンを発行させ、それを悪用することで意図しないアプリケーションの権限昇格や、アカウントの乗っ取りが発生してしまう。

 BlackDirectの脆弱性は、前述のようにすでにマイクロソフトによって修正されているが、CyberArkはこのような脆弱性による被害を防ぐために、

  • アプリケーションに設定されたリダイレクトURLが、すべて自分の所有するものであることを確認する
  • 不要なリダイレクトURLを削除する
  • OAuthアプリケーションが要求する権限が、必要最小限のものであることを確認する
  • 使用していないアプリケーションを無効にする

 という対策を提案している。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/12644 2019/12/07 22:15

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング