Microsoft Azureアカウント、およびMicrosoftアカウントに、アカウントの乗っ取りを可能にする脆弱性「BlackDirect」が存在することが明らかになった。BlackDirectは、イスラエルのセキュリティ企業CyberArkの研究者によって発見され、10月にマイクロソフトに報告されており、マイクロソフトは11月の更新パッチで当該の脆弱性を修正している。
BlackDirectの原因となっていたのは、マイクロソフトのOAuthアプリケーションに関連する不具合で、一部のアプリケーションがOAuth認証の際に使用するホワイトリストのサブドメインが誰でも利用できる状態になっており、攻撃者によるアクセストークンの発行が可能になっていた。
攻撃者は、アクセストークンを発行するためのURLをクリックさせたり、あらかじめ用意したWebサイトにアクセスさせたりすることによってトークンを発行させ、それを悪用することで意図しないアプリケーションの権限昇格や、アカウントの乗っ取りが発生してしまう。
BlackDirectの脆弱性は、前述のようにすでにマイクロソフトによって修正されているが、CyberArkはこのような脆弱性による被害を防ぐために、
- アプリケーションに設定されたリダイレクトURLが、すべて自分の所有するものであることを確認する
- 不要なリダイレクトURLを削除する
- OAuthアプリケーションが要求する権限が、必要最小限のものであることを確認する
- 使用していないアプリケーションを無効にする
という対策を提案している。
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア