マイクロソフト、Entra IDサインインのセキュリティ強化を発表
マイクロソフトは、2026年10月中旬から下旬にかけて、Entra ID認証システムを外部スクリプトインジェクション攻撃から保護するセキュリティ強化策を導入すると発表しました。この更新により、サインイン時にマイクロソフトが信頼するコンテンツ配信ネットワーク(CDN)ドメインからのスクリプトダウンロードと、マイクロソフトが信頼するソースからのインラインスクリプト実行のみを許可する、強化されたコンテンツセキュリティポリシー(CSP)が実装されます。
新セキュリティ対策の詳細
この更新は、クロスサイトスクリプティング(XSS)攻撃を含む、さまざまなセキュリティリスクからユーザーを保護することを目的としています。攻撃者はXSS攻撃を通じて悪意のあるコードをウェブサイトに挿入し、認証情報を盗んだりシステムを侵害したりする可能性があります。今回のポリシー更新は、login.microsoftonline.comで始まるURLでのブラウザベースのサインインエクスペリエンスにのみ適用され、Microsoft Entra External IDは影響を受けません。
マイクロソフトのIDおよび認証エクスペリエンス担当プロダクトマネージャーであるメグナ・コッカレーラ氏は、「この更新はセキュリティを強化し、認証中に信頼できるマイクロソフトドメインからのスクリプトのみを許可することで、追加の保護レイヤーを追加します。これにより、サインインエクスペリエンス中に不正なコードや注入されたコードの実行をブロックします」と述べています。
組織への影響と推奨事項
マイクロソフトは、組織に対し、2026年10月の期限までにサインインシナリオをテストし、コードインジェクションツールへの依存関係を特定して対処することを強く推奨しています。IT管理者は、ブラウザの開発者コンソールでサインインフローを確認することで、潜在的な影響を特定できます。違反は赤色のテキストで表示され、ブロックされたスクリプトに関する詳細が提供されます。
また、マイクロソフトは、変更が有効になる前に、サインインページにコードやスクリプトを挿入するブラウザ拡張機能やツールの使用を停止するよう企業顧客に助言しています。これらはサポートされなくなり、動作しなくなりますが、ユーザーは引き続きサインインできます。
「Secure Future Initiative」の一環
この動きは、マイクロソフトの「Secure Future Initiative(SFI)」の一環です。SFIは、米国土安全保障省のサイバー安全審査委員会が、同社のセキュリティ文化が「不十分であり、見直しが必要である」と指摘した報告書を受けて、2023年11月に開始された全社的な取り組みです。
このイニシアチブの一環として、マイクロソフトはすでに以下のセキュリティ対策を講じています。
- Microsoft 365のセキュリティデフォルトを更新し、SharePoint、OneDrive、Officeファイルへのレガシー認証プロトコル経由でのアクセスをブロックしました。
- Windows版のMicrosoft 365およびOffice 2024アプリで、すべてのアクティブXコントロールを無効にしました。
- 今月初めには、会議中の画面キャプチャ試行をブロックするように設計された新しいTeams機能の展開を開始しました。