Microsoft Entra IDの深刻な脆弱性「nOAuth」、10％のSaaSアプリでアカウント乗っ取りを引き起こす可能性

MicrosoftのEntra IDに存在する深刻な脆弱性「nOAuth」に関する新たな研究が発表され、この脆弱性が世界中のSaaSアプリケーションの10％に影響を及ぼす可能性があることが明らかになった。

Semperisが公開した報告書によると、この脆弱性はEntra ID統合におけるクロステナント認証の欠陥に関するもので、攻撃者はEntraテナントと被害者のメールアドレスへのアクセスさえあれば、完全なアカウント乗っ取りを実行できる。

この攻撃は、低い複雑性と低い手間で行えるため、特に多要素認証（MFA）や条件付きアクセス、ゼロトラストセキュリティアーキテクチャなどの強力なサイバーセキュリティ対策を持つ企業でも回避できない可能性がある。なお、2023年に最初に発覚したこの脆弱性が未だ多くのアプリに影響を与えていることが確認されている。

アプリの提供者は迅速にパッチを適用しなければ、アカウント乗っ取りのリスクを抱え続けることになる。