🔥 この記事の詳細
2026-07-14 更新
C
月内に

Microsoft Entra IDにおいて、OAuthクライアントIDを偽装して盗まれた認証情報の有効性を検証する新しい回避手法

脆弱性🌐 英語ソース
📅 2026-07-14📰 hackernews
📌 一言でいうと
Microsoft Entra IDにおいて、OAuthクライアントIDを偽装して盗まれた認証情報の有効性を検証する新しい回避手法が確認されました。攻撃者は有効なクライアントIDと無効なものの応答の違いを利用して、成功したサインインイベントを発生させずにユーザー名とパスワードの正当性を大規模に確認できます。これにより、防御側の検知をすり抜けてクラウドサービスへの不正アクセスを試みることが可能です。
🔍該当判定
  • Microsoft Entra ID (旧 Azure AD) を社内の認証基盤として利用している
  • Microsoft 365 (Office 365) を利用しており、ユーザーIDとパスワードでログインしている
  • 外部のアプリケーションや自社開発ツールを Entra ID と連携させて利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
多要素認証 (MFA) の強制適用、不審な認証試行の監視、および条件付きアクセスポリシーの最適化を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft Entra ID における OAuth クライアント ID 偽装攻撃について

お疲れさまです。Microsoft Entra ID の認証テレメトリを回避する新しい攻撃手法に関する情報共有です。

■ 概要
攻撃者が OAuth クライアント ID の有効性によるエラーレスポンスの差異を利用し、成功したサインインログを残さずに盗まれた認証情報の正当性を検証する「OAuth client ID spoofing」が観測されています。これにより、従来のサインイン監視をすり抜けてアカウントの有効性を確認し、その後の不正アクセスに繋げるリスクがあります。

■ 影響範囲
- Microsoft Entra ID 環境

■ 対応手順
1. 全ユーザーに対する多要素認証 (MFA) の強制適用を確認し、パスワードのみの認証を排除してください。
2. 条件付きアクセスポリシーを見直し、信頼できない場所やデバイスからの認証試行を制限してください。
3. 認証失敗ログの急増など、不審なパターンの監視を強化してください。

■ 参考情報
- Proofpoint 報告書

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Advisory] OAuth Client ID Spoofing in Microsoft Entra ID

Dear IT/Security Team,

We are sharing information regarding a novel evasion technique targeting Microsoft Entra ID authentication telemetry.

■ Overview
Threat actors are utilizing "OAuth client ID spoofing" to validate stolen credentials. By analyzing the difference in error responses between valid and invalid OAuth client IDs, attackers can verify usernames and passwords at scale without generating a successful sign-in event, effectively bypassing traditional detection mechanisms.

■ Scope
- Microsoft Entra ID environments

■ Recommended Actions
1. Ensure Multi-Factor Authentication (MFA) is strictly enforced for all users to mitigate the risk of credential stuffing.
2. Review and optimize Conditional Access policies to restrict authentication attempts from untrusted locations or devices.
3. Enhance monitoring for anomalous patterns in authentication failure logs.

■ Reference
- Proofpoint Security Research

Priority: High
Deadline: Immediate review