Microsoft Entra IDの管理者ロール脆弱性、AIサービスプリンシパルの乗っ取りを可能に

概要

Microsoft Entra ID（クラウド認証サービス）内のAIエージェント向け管理者ロール「Agent ID Administrator」に脆弱性が発見されました。Silverforthのセキュリティ研究により、このロールの不適切な設計により、権限昇格攻撃およびサービスプリンシパル（機械的なユーザーアカウント）の乗っ取りが可能となることが判明。攻撃者がこのロールを持つアカウントを侵害すれば、AIエージェントのライフサイクル管理の全権を掌握でき、クラウド環境全体の重大な脅威となる可能性があります。マイクロソフトはこの脆弱性に対するパッチをリリース。Entra IDを使用する組織は早急な更新適用が必要です。

元記事（The Hacker News）