Microsoft Entra IDのエージェントID管理者ロールにおけるセキュリティ上の欠陥により、特権の昇格が可能になる可能性があります。このロールは、AIエージェントのIDを管理するために設計されています。Silverfortによると、このロールは過剰な権限を付与しており、攻撃者がこれを悪用して資格情報を変更したり、追加のロールを割り当てたり、サービスプリンシパルになりすましたりして、重要なサービスアカウントを危険にさらす可能性があります。
過剰な権限がなりすましへの扉を開く 🔓
Silverfortのレポートによると、このロールにより、サービスプリンシパルのキーや証明書の変更、さらにアプリケーション管理者やハイブリッドID管理者などのロールの割り当てが可能になります。これにより、攻撃者はAIエージェントのIDを乗っ取り、ネットワーク内を横断的に移動し、機密リソースにアクセスすることが容易になります。問題の根源は、このロールが最小権限の原則に従っていないこと、つまり管理ツールを攻撃ベクトルに変えてしまう設計上の欠陥にあります。
グローバル管理者になりたがったボット 🤖
マイクロソフトは、まるでボットが仕事をするために王国の鍵を必要とするかのように、AIエージェントに完全アクセス権を与えてしまったようです。今や、アクセス権を持つ攻撃者は誰でもエージェントに資格情報を貸すように頼むことができ、哀れなエージェントは断ることを知りません。結局のところ、デジタルアシスタントになるはずだったものが、サイバー攻撃の完璧な共犯者となり、人工知能が時として初日のインターンと同じくらい信頼しがちであることを示しています。