Black Hat USA 開催直前に明らかになったハイブリッド ID 連携の設計課題と Microsoft の対応 | ScanNetSecurity
2026.06.12(金)
コンテンツ
注目検索ワード
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事

Black Hat USA 開催直前に明らかになったハイブリッド ID 連携の設計課題と Microsoft の対応

 オンプレミスのActive Directory環境が乗っ取られた場合、連携のクレデンシャル情報を悪用され、別ドメインへのアクセスやなりすましが可能になるため、ハイブリッド環境の認証連携設定に注意が必要です。

研修・セミナー・カンファレンス
20 views
Outside Security : ダレク‐ジャン モレマ氏
  • Outside Security : ダレク‐ジャン モレマ氏
  • Active Directoryハイブリッド環境での横展開
  • ハッキングデモでは、Entra IDのグローバル管理アカウントを生成して見せた

 2025 年 8 月、Black Hat USA 開催の前週。Microsoft はセキュリティ研究者からの報告を受けて評価を行い、一部の認証機能の挙動を変更した。報告内容は脆弱性ではなく「設計上の課題」に関するものだった。

 報告者であるセキュリティ研究者ダーク=ヤン・モレマ氏(Outsider Security社、写真)は、約 2 週間前に MSRC(Microsoft Security Response Center)へ情報を提供。Microsoft は影響評価を経て、優先度を上げて対応し、モレマ氏の Black Hat USA での講演前に一部の機能変更を実施した。

 本事例は、多くの企業が直面している「オンプレミスの侵害が、クラウドの侵害に直結し得る」というハイブリッド環境特有の設計上の現実を改めて突きつけるものとなった。何が発見されたのか。そして、この事例は何を教えてくれるのか。

● オンプレミスの深部侵害がクラウドへの横展開を可能にする経路

 モレマ氏は、Microsoft MVP(Most Valuable Professional:技術コミュニティへの貢献が認められた外部専門家)として複数年にわたり活動し、Active Directory と Microsoft Entra ID(旧 Azure AD)のセキュリティ研究で知られる。

 彼がBlack Hat USAのセッション「Advanced Active Directory to Entra ID Lateral Movement Techniques」で明らかにしたのは、ハイブリッド環境における ID 連携全体の設計上の考慮事項、平たく言えばセキュリティリスクだった。

 セッションの冒頭、モレマ氏は問いかけた。

 「ハイブリッド環境において、Active Directory と Entra ID の間にセキュリティ境界は存在するのか?」

 言い換えれば、オンプレミス側が侵害されたらクラウド側も侵害されるのかという問いだ。

 答えは複雑だ。境界は存在する。しかし、その境界を跨ぐ信頼関係が深く組み込まれているため、特定の条件下では境界が事実上機能しなくなる場合がある。

 多くの企業は、既存のオンプレミス Active Directory を運用しながら、クラウド上の Entra ID に段階的に移行している。このハイブリッド環境では、オンプレミス側の深部が侵害され、特権アカウントやハイブリッド連携コンポーネント(Exchange、AD Connect、ADFS 等)が奪取されると、クラウド側へのラテラルムーブメント(横展開)の経路が存在する。モレマ氏の研究は、その経路が想定以上に多様であり、従来型のログ監視では検知が困難な場合があることを示していた。

Active Directory ハイブリッド環境での横展開

● Exchange Hybrid における認証設計の考察:ID 連携全体の構造

 モレマ氏が詳細に分析した例の一つが、Exchange Hybrid におけるサービス間認証だ。ただし重要なのは、Exchangeは問題が顕在化した一例であり、設計上の考慮事項はオンプレミスとクラウドを橋渡しする ID 連携全体に関わるということだ。

 オンプレミスの Exchange Server(Microsoft の企業向けメールサーバソフトウェア)とクラウドの Exchange Online をハイブリッド構成で運用している環境では、両者間の認証に証明書ベースの信頼関係が使われる。攻撃者がオンプレミス環境で Exchange サーバへの管理者権限を奪取し、この証明書を入手すると、クラウド側への横展開経路が開かれる可能性がある。

 モレマ氏が分析したのは、この証明書を使って発行できる「S2S(Service-to-Service)Actor Token」という特殊なトークン(システム同士が裏側で直接連携して動くための内部用認証情報)だ。このトークンには、以下の特性がある:

・ 24時間有効で従来の失効メカニズムでは無効化が困難

・ 発行時はオンプレ側でローカルに署名・生成されるため、Entra IDへの認証通信が発生せず、Entra IDの監査ログに記録されない

・ 使用時も正規のファーストパーティサービス通信として記録されるため、不正ななりすましとの判別が困難

・ 一部のセキュリティ制御(条件付きアクセス等)の対象外

・ テナント内の任意のユーザーになりすます能力

 このトークンを使えば特定の条件下で以下へのアクセスが可能になる:

・ Exchange Online:メールボックス
・ SharePoint Online:サイト
・ OneDrive:ファイル
・ そして発表時点では Entra ID 全体を管理する権限さえ行使できた

ハッキングデモでは、Entra ID のグローバル管理アカウントを生成して見せた

 重要なのは、これは初期侵入手法ではなく、深い侵害の後に使われる「ポスト侵入技術」であることだ。技術難易度は高く、オンプレミス環境の深部侵害(ドメイン管理者レベル)など、複数の条件が揃った場合に限られる。しかし、APT のような高度な攻撃者にとって、条件が整えば現実的な選択肢となる。成功確率は組織のセキュリティ成熟度に大きく依存する。

 モレマ氏は講演の中で、「S2S actor tokensの設計は見直されるべきだ」と述べ、セキュリティ強化の必要性を指摘した。

● Microsoftの対応とセキュリティ強化の経緯

 モレマ氏が講演で指摘した課題に関連して、Microsoft は数年前から段階的な対応を進めており、今回の報告を受けて追加の対応も実施した。

【実施済セキュリティ強化】
・ Conditional Accessポリシー管理の保護強化(2023年12月)

・ Entra ID Connect の権限モデル変更(2024年8月)

・ 特定のファーストパーティ認証経路における権限委任の変更(2025年8月)

【講演後に実施された対応】
・ Exchange Hybrid アーキテクチャの見直し(2025年10月開始)
・ S2S認証メカニズムの段階的な改善

 重要なのは、これらは個別の「脆弱性」への対応ではなく、ハイブリッド環境の利便性と後方互換性を維持しながら、セキュリティを強化するための設計上の見直しだということだ。複雑なエコシステムにおいては、単一のパッチで解決するのではなく、顧客への影響を考慮した段階的なアプローチが必要となる。

 モレマ氏の講演では、Exchange 以外にも、AD Connect、ADFS、シームレスSSO など、ID 連携全体に関わる複数の攻撃経路を実証した。いずれも、オンプレミス環境の深部侵害と特権奪取が前提条件となり、従来型のログ監視では検知が困難な特性を持つ。

● 経営層が理解すべき 3 つの教訓

1. 中途半端なハイブリッド運用を「制御不能な状態」で放置する危険性

 多くの経営層は「オンプレミスは古い、クラウドは安全」「クラウド移行でセキュリティを自動的に強化できる」「ベンダーに任せておけば大丈夫」と考えている。

 しかし、モレマ氏の研究が示したのは、ハイブリッド環境ではオンプレミスとクラウドの間に強固な信頼関係が構築されており、オンプレミス側の深部侵害がクラウド側への横展開につながる経路が複数存在するという現実だ。

 重要なのは「クラウドが危険」なのではなく、「ハイブリッド状態という過渡期が最も複雑でリスクが高い」ということだ。完全なクラウド環境も完全なオンプレミス環境も一定の境界と管理モデルを持つが、その中間状態を十分な統制なく長期間維持することが問題となる。

 現実には、金融・製造業などでは完全なクラウド移行に 10 年以上かかることも珍しくなく、業務的制約で段階的な移行が必要なケースも多数存在する。だからこそ、単に「ハイブリッド期間を短縮する」だけでなく「制御可能な状態で維持する」こと、やむを得ずハイブリッドを継続する場合はその前提でのリスク管理を徹底すること、そしてオンプレミス側の最重要アカウント(Active Directoryの管理者など)の保護を最優先することだ。

※ 2026 年現在の確認事項:Exchange Hybrid のアーキテクチャ見直しは 2025 年 10 月に開始された。影響を受ける組織は、自社環境でこの対応が確実に完了しているか、移行計画の進捗状況を確認すべきだ。

2. 「ログが残らない」設計の危険性

 モレマ氏が指摘した S2S actor tokens の最大の問題は何か。それは攻撃の痕跡がほとんど残らないことだ。

 すなわち S2S actor tokensは、発行時に Entra ID の監査ログに記録されない。さらに使用時も、正規通信と全く同一の経路・形式で実行されて正規のファーストパーティ通信として記録されるため、不正ななりすましとの判別が極めて困難であり、顧客側で事前に検証・監査することもできない。

 その結果、従来型のログ監視では検知が困難であり、コンプライアンス要件を満たす証跡の確保も課題となり、インシデント対応時の調査も困難になる。

 完全に不可視というわけではないが、防御側が知らない攻撃手法は検知ルールの優先順位に入らない。結果として、実質的に「見えない」状態が続く。

3. セキュリティ研究コミュニティとベンダーの協調の価値

 今回の事例が示す重要な教訓は何か。それは外部の目がなければ、問題の優先順位は変わらなかった可能性があることだ。

 モレマ氏自身が「脆弱性ではなく設計上の課題」と考えていた内容を MSRC に報告したのは、Black Hat の2週間前。Microsoft は影響評価を行い、優先度を上げて対応し、講演前に一部の機能変更を完了させた。

 しかし、もし Black Hat での公開講演がなかったら? S2S actor tokens の設計は何年も前から存在していた。外部の独立した視点と、公開の場での知識共有によって対応が加速された。

 セキュリティ研究者、ペネトレーションテスト、レッドチーム演習、バグバウンティプログラム――これらへの投資は、問題を指摘する外部の目を確保するための必要経費だ。

 Exchange Hybrid のアーキテクチャ見直しは 2025 年 10 月に開始されている。ハイブリッド環境を維持している組織は、自社の対応ステータスを確認すべきだ。詳細な技術情報や検知手法は、モレマ氏のブログで公開されている。

--

参考リンク
Dirk-jan Mollema ブログ
https://dirkjanm.io

Exchange Hybrid対応(Microsoft Tech Community)
https://techcommunity.microsoft.com/blog/exchange/exchange-server-security-changes-for-hybrid-deployments/4396833

関連ツール
https://github.com/dirkjanm/

※本記事は 2025 年 8 月の Black Hat USA 2025 発表時点の情報を基に構成しており、対応経緯については公開情報と発表内容に基づいて記述しており、最新のセキュリティ対応状況については、Microsoft 公式情報をご確認ください

《中尾 真二( Shinji Nakao )》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×