技術的な説明
AI エージェント身元の管理を目的とした Microsoft Entra ID の管理ロールが、権限昇格と潜在的なテナント乗っ取りを可能にするように誤ってスコープ設定されていました。ブループリントやエージェント身元などのエージェント関連オブジェクトにスコープ設定されていた「エージェント ID 管理者」ロールは、テナント全体の無関係なサービスプリンシパルの所有権を取得できました。このロールが割り当てられたユーザーは、実質的にアプリケーション管理者ロールと同様の機能を取得できますが、エージェント使用ケースに特に限定されていません。Silverfort 研究者による情報開示に従い、Microsoft は脆弱性を修正しました。
攻撃経路
エージェント ID 管理者ロールを持つ攻撃者は、エージェント関連身元を超えたサービスプリンシパルの所有権を割り当てることができます。高権限のサービスプリンシパルの所有権を取得することで、攻撃者は権限をテナント全体のアプリケーション管理者機能に昇格させ、横移動、永続化、および潜在的なテナント侵害を実現できます。この脆弱性は、企業身元システム内のエージェント型 AI 身元の配備が増加している中で、エージェントスコープとテナントスコープの権限の間の境界が不十分に実装されていたことを悪用しました。
影響を受けるシステム
エージェント型 AI 身元とブループリントの管理のためにエージェント ID 管理者ロールを使用している Microsoft Entra ID(旧 Azure AD)テナント。Entra ID 統合を備えた AI エージェントを展開している組織が影響を受けます。
緩和策
Microsoft は脆弱性を修正しました。組織は、エージェント ID 管理者ロールがエージェント関連オブジェクトのみに正しくスコープ設定されていることを確認する必要があります。このロールが割り当てられているユーザーの監査ログを確認し、露出期間中のサービスプリンシパル所有権の変更を検査してください。エージェント身元の使用が増殖するにつれて、すべてのエージェント関連管理ロールに最小権限スコープを実装し、テナント間の権限境界を定期的に監査してください。これを非ヒューマンおよびエージェント身元の広範な身元管理を確認するシグナルと考えてください。多くの IAM プラットフォームは、高速で自律的なアクターのために設計されていません。