【訳】

Microsoft Entra IDの脆弱性により、あらゆる企業のテナントを乗っ取る可能性があった

【図表】

Azure AD Graphエラー：トークンは有効だがユーザーが存在しない (Dirk-jan Mollema)
出典: https://www.bleepingcomputer.com/news/security/microsoft-entra-id-flaw-allowed-hijacking-any-companys-tenant/

【要約】

Microsoft Entra IDにおいて、署名されていない「アクタートークン」と廃止予定のAzure AD Graph APIの脆弱性（CVE-2025-55241）が組み合わさり、他組織のテナント管理者をなりすまして完全侵害が可能となる問題が判明した。研究者は任意のテナントでグローバル管理者権限を取得し、操作も痕跡を残さず実行可能と確認。Microsoftは報告を受け9日後に修正し、9月にパッチを公開した。

【ニュース】

◆Microsoft Entra ID flaw allowed hijacking any company's tenant (BleepingComputer, 2025/09/21 13:30)
[Microsoft Entra IDの脆弱性により、あらゆる企業のテナントを乗っ取る可能性があった]
https://www.bleepingcomputer.com/news/security/microsoft-entra-id-flaw-allowed-hijacking-any-companys-tenant/

【関連まとめ記事】

◆全体まとめ
　◆認証 (まとめ)

◆Microsoft Entra ID (まとめ)
https://security-log.hatenablog.com/entry/Microsoft_Entra_ID