先週の土曜日、4 月 19 日以来、世界中の管理者は、Microsoft Entra の資格情報の漏洩により高リスクのユーザーに対処しています。ほとんどの場合、影響を受けるのはユーザーの約 30 ~ 40% だけですが、場合によっては、すべてのアカウントが Microsoft 365 からロックアウトされます。
漏洩した認証情報機能小切手ユーザーのパスワード ハッシュがダーク ウェブ、ペースト サイト、またはその他のソースに表示された場合。一致するものが見つかった場合、ユーザーは高リスクとしてフラグが立てられ、ロックアウトされます。
さて、最初はネットワークに侵害があったのではないか、あるいは攻撃者が大規模なソースからパスワード ハッシュにアクセスしたのではないかと考えるかもしれません。しかし、それでもパスワードなしのユーザーアカウントはこの問題の影響を受けるため、これは誤検知であると思われます。
現時点では、この問題は今週末に公開された MACE Credential Revocation と呼ばれる新しいアプリが原因であるようです。複数の管理者は、最初のユーザーが高リスクとしてフラグを立てられる直前に、このアプリが Microsoft Entra に自動的にインストールされたと報告しています。
マイクロソフトからのアップデート
Microsoft は、この問題に関するアップデートをリリースしました。
影響の概要:
25 年 4 月 18 日金曜日、Microsoft は、標準のログ プロセスではそのようなトークンに関するメタデータのみをログに記録するのに対し、少数のユーザーに対して有効期間の短いユーザー リフレッシュ トークンのサブセットを内部でログに記録していたことを特定しました。内部ログの問題はすぐに修正され、チームは顧客を保護するためにこれらのトークンを無効にする手順を実行しました。無効化プロセスの一環として、Entra ID Protection でユーザーの資格情報が侵害された可能性を示すアラートを誤って生成してしまいました。これらのアラートは、UTC 4 月 20 日 25 日午前 4 時から UTC 4 月 20 日 25 日午前 9 時までの間に送信されました。これらのトークンへの不正アクセスの兆候はありません。不正アクセスがあったと判断した場合は、標準のセキュリティ インシデント対応および通信プロセスを発動します。
問題の解決方法
テナントがこの問題の影響を受ける場合、現時点では問題を解決するには基本的に 2 つのオプションがあります。
- ユーザーの安全を確認する (このインシデントに対して Microsoft が推奨)
- ユーザーのパスワードをリセットする
したがって、通常、認証情報の漏洩によりユーザーに高リスクのフラグが立てられた場合、とるべき行動は、ユーザーのすべてのセッションを取り消し、ユーザーのパスワードをリセットすることです。
ただし、Microsoft はこの問題の原因を認識しているため、Microsoft Entra でユーザーを安全であるとマークできます。ここで重要なのは、リスクの最終更新を確認し、このインシデントの影響を受けるユーザーのみをマークするようにすることです。
- 開けるMicrosoft サインイン
- 拡大する保護そしてクリックしてください危険な活動
- これにより、自動的に選択されます危険なユーザー
- ユーザーを選択してください問題となっており、それらを安全であるとマークします
個人的には、イースターの長い週末の後の朝に影響を最小限に抑えるためにユーザーを安全であるとマークし、その日の後半にユーザーにパスワードをリセットさせると思います。今すぐすべてのパスワードをリセットする場合は、ユーザーが週末後にログインできるように、新しいパスワードを SMS で送信する必要があります。