HPのAI PC向けアップデートがMicrosoft Entra ID認証を破損
HPは、一部のAI PC向けに提供していたWindows 11用「HP OneAgent」ソフトウェアアップデートを緊急停止しました。このアップデートは、Microsoft Entra ID(旧Azure AD)へのログインに必要なMicrosoft証明書を誤って削除し、組織がクラウド環境に接続できなくなる問題を引き起こしました。
問題の経緯と技術的詳細
このバグは、Patch My PCのRudy Ooms氏によって発見されました。同氏の調査によると、問題はHPがAI PCデバイスにサイレントに展開したバックグラウンドアップデートに起因します。具体的には、HP OneAgentバージョン1.2.50.9581が自動的に「SP161710」というクリーンアップパッケージを実行しました。
このパッケージに含まれる「install.cmd」スクリプトは、HPの「1E Performance Assist」ソフトウェアの残骸を削除するために設計されていました。しかし、このスクリプトのサブルーチンは、証明書の件名、発行者、またはフレンドリ名に「1E」という部分文字列を含むすべての証明書を検索し、削除するものでした。このようなスクリプトは、意図しない証明書を削除する「誤検知」のリスクを伴う非常に危険なものです。
Microsoft Entra IDまたはIntuneにデバイスが参加する際、組織のテナントに固有の「MS-Organization-Access」証明書が発行され、Windows証明書ストアに保存されます。この証明書は、Entra IDに対する適切な認証に不可欠です。問題は、一部のユーザーの「MS-Organization-Access」証明書のサムプリントに偶然「1E」という部分文字列が含まれていたため、HPのクリーンアップスクリプトによって削除されてしまったことにあります。
影響とHPの対応
証明書が削除されると、デバイスはEntra IDから即座に切断され、資格情報でログインできなくなりました。Ooms氏は、「Entra/Azure ADへの参加が完全に失われた!デバイスはサイレントにクラウドから切り離された。WindowsとEntra ID間の信頼が完全に消失した」と説明しています。OneAgentのアップデート指示は、HPのAWS IoTインフラストラクチャから直接送られていたことがログから確認されています。
HPはBleepingComputerへの声明で、問題のあるアップデートを停止したことを認め、「このアップデートはすでに提供されておらず、これ以上のAI PCに影響を与えることはありません。我々は問題を調査しており、影響を受けたお客様と密接に連携して緩和策に取り組んでいます」と述べました。
限定的な影響と復旧手順
Ooms氏によると、各組織が受け取る証明書は一意であるため、証明書の件名フィールドに「1E」チェーンが含まれる可能性はわずか9.3%です。さらに、この問題のあるスクリプトはHPのAI PCにのみプッシュされたため、全体的な影響はさらに限定的であると考えられています。ただし、Entra ID認証以外にも、他のプラットフォームで使用される正当な証明書が削除された可能性も指摘されています。
影響を受けたデバイスは、ドメインに再参加するために手動での復旧プロセスが必要です。Ooms氏は、以下の手順を共有しています。
- ローカル管理者(LAPS)アカウントでサインインする。
- Ooms氏が作成した、Intune登録データを削除するクリーンアップスクリプトを実行する。
- デバイスをEntra IDに再参加させる。
また、Microsoft DefenderのLive Response機能を使用してデバイスをリモートで修正する方法も紹介されています。