Microsoft Entra IDの深刻な脆弱性「nOAuth」、10%のSaaSアプリでアカウント乗っ取りを引き起こす可能性
Microsoft Entra IDの「nOAuth」脆弱性により、10%のSaaSアプリが影響を受け、アカウント乗っ取りが可能となることが判明。
最新の更新
MicrosoftのEntra IDに存在する深刻な脆弱性「nOAuth」に関する新たな研究が発表され、この脆弱性が世界中のSaaSアプリケーションの10%に影響を及ぼす可能性があることが明らかになった。
Semperisが公開した報告書によると、この脆弱性はEntra ID統合におけるクロステナント認証の欠陥に関するもので、攻撃者はEntraテナントと被害者のメールアドレスへのアクセスさえあれば、完全なアカウント乗っ取りを実行できる。
この攻撃は、低い複雑性と低い手間で行えるため、特に多要素認証(MFA)や条件付きアクセス、ゼロトラストセキュリティアーキテクチャなどの強力なサイバーセキュリティ対策を持つ企業でも回避できない可能性がある。なお、2023年に最初に発覚したこの脆弱性が未だ多くのアプリに影響を与えていることが確認されている。
アプリの提供者は迅速にパッチを適用しなければ、アカウント乗っ取りのリスクを抱え続けることになる。
好きかもしれない
- 深い睡眠段階が問題解決の洞察力を高めると研究で判明
- 最高裁判所、低所得者向けブロードバンド基金の継続を認める
- Apple、'Liquid Glass' UIと新しいバージョン管理システムを搭載したパブリックベータ版を公開
- Anthropic、安全性懸念の高まりでAI規則を強化、武器開発を禁止
- マイクロソフト、Active Exploitation中のSharePointゼロデイ脆弱性に緊急パッチをリリース
- Apple Arcadeに『Angry Birds Bounce』など4つの新作ゲームが追加
- アップル、クロームのゼロデイ脆弱性に対応するアップデートをリリース
- スペースX補給ミッション33号機、骨密度研究を国際宇宙ステーションへ運搬