はじめに

Microsoftは、ハッカーによるユーザーアカウント乗っ取りを困難にするため、クラウドプラットフォームのログインシステムを強化しています。この措置は、長年にわたり広く利用されてきた脆弱性であるクロスサイトスクリプティング（XSS）攻撃からユーザーを保護することを目的としています。

Microsoftの新たな対策

Microsoftは、Entra IDクラウドアイデンティティ管理プラットフォームにおいて、2025年10月からログインプロセス中にスクリプトの実行をブロックすると発表しました。ただし、このブロックは「信頼できるMicrosoftドメイン」からのスクリプトには適用されません。

Entra IDのプロダクトマネージャーであるアンカー・パテル氏は、この変更が「攻撃者が悪意のあるコードをウェブサイトに挿入できるクロスサイトスクリプティング（XSS）のような現在のセキュリティリスクからユーザーをさらに保護する予防措置である」と述べています。この変更は、Microsoftの「Secure Future Initiative」の一環として導入されます。

スクリプトの制限は、ウェブブラウザがコンテンツを安全に処理する方法を指示するContent Security Policy（CSP）ブラウザセキュリティヘッダーの修正を通じて実施されます。なお、このアップデートはウェブブラウザ以外のアプリケーションでの認証を扱うEntra External IDには適用されません。Microsoftは、組織に対し、スムーズな移行を確実にするため、変更に先立ってサインインプロセスをテストするよう促しています。

XSS攻撃の永続的な脅威

XSS攻撃のリスクはソフトウェア開発者の間で数十年前から認識されていますが、その根底にある脆弱性は、最新のツールで開発された現代のアプリケーションにおいてさえ広く存在しているため、ハッカーにとって強力なツールであり続けています。

Microsoftは、2024年1月から2025年中旬にかけて、Microsoft Security Response Centerが約1,000件のXSS脆弱性に対処したと報告しています。「ブラウザセキュリティ、コンテンツセキュリティポリシー（CSP）、そしてデフォルトでセキュアなライブラリにおける進歩にもかかわらず、XSSは現実世界に影響を及ぼす永続的な脅威ベクトルであり続けている」とMicrosoftは述べています。

今後の展望

Microsoftの今回の取り組みは、クラウドサービスにおけるセキュリティを一層強化し、ユーザーの安全性を高める上で重要な一歩となります。組織は、発表された変更に対応するため、速やかに自社のシステムを評価し、必要な調整を行うことが求められます。これにより、XSSのような一般的なウェブ脆弱性に対する防御が強化され、より安全なオンライン環境の実現に貢献するでしょう。

元記事: https://www.cybersecuritydive.com/news/microsoft-change-cloud-login-entra-id-xss/806556/