概要

Microsoft Entra ID の OAuth 脆弱性は、脅威アクターにクラウドメールへの侵入を可能にする道を開きます。特に ChatGPT などの信頼できるアプリケーションが権限の乱用により悪用される可能性があります。

脆弱性の詳細

ユーザーが Entra ID テナントに公式な ChatGPT サービスプリンシパルを追加し、Microsoft Graph OAuth 権限（Mail.Read, offline_access, profile, openid）を付与すると、攻撃者はこの脆弱性を利用してメールボックスへのアクセスを得ることができます。

脅威の展開

Red Canary の脅威研究チームは、実世界での OAuth アプリケーション攻撃を観察し、新しい攻撃手法の予測を行っています。これらのログは、ChatGPT が新規に追加されたテナントで Mail.Read 権限を取得したことを示しています。

攻撃パターン

• 非管理者による同意: このパターンは一般的な OAuth フィッシング手法と一致し、通常のユーザーがより厳しい管理コントロールをバイパスするための標的となります。
• メールアクセス: 攻撃者はアプリケーショントークンを使用して受信および送信メッセージを読み取り、機密データを収集し、パスワードリセットフローを監視することができます。

検出と対策

効果的な検出は、「誰が、いつ、どこで、どのように」という質問から始まります。これはコンテンツの監査ログによって提供されます。

• 時間: 「2025-12-02T20:22:16」
• IP アドレス: 3.89.177.26

組織は、Entra ID のユーザー同意設定を強化し、リスクの高い OAuth アプリケーションを継続的に監視することで、ChatGPT を含む強力なツールが攻撃者のメールボックスバックドアに変換されないようにすることができます。

対策

脅威が悪意を持って存在する場合や許可されていない場合は、特定の OAuth パーミッションを即座に取り消し、関連するサービスプリンシパルをテナントから削除することで攻撃者のトークンベースアクセスを遮断することができます。

結論

組織は、OAuth 脆弱性に対する防御策を強化し、ChatGPT などの信頼できるアプリケーションが悪用されないよう注意する必要があります。継続的な監視と適切な対応により、攻撃者の侵入を防ぐことができます。

---

元記事: https://gbhackers.com/oauth-vulnerabilities-in-entra-id/