Entra ID「Nested App Authentication」の脆弱性が明らかに：MFAを含むすべての条件付きアクセスポリシーを回避

2026年6月22日、NetSPIの研究者Thomas Byrne氏は、Microsoft Entra IDのNested App Authentication（NAA）フレームワーク（別名BroCI）における脆弱性を公表しました。この脆弱性を悪用すると、攻撃者は多要素認証（MFA）、デバイス準拠チェック、場所ベースの制限など、**あらゆる条件付きアクセスポリシー（CAP）**を回避できたと報告されています 。Microsoftはこの問題をサーバーサイドで修正し、深刻度は「中 (Medium)」と評価しましたが、この開示は、同一日に発表された別のバイパス手法や、Microsoftによる一連のセキュリティ強制変更と相まって、アイデンティティセキュリティにとって重要な出来事となりました。

脆弱性の仕組み：NAAがいかにして全ての制御を回避したか

Nested App Authenticationは、Microsoftが独自に実装したOAuthベースのシングルサインオン（SSO）メカニズムで、Azure Portalのような「ホスト」アプリケーションが、ユーザーに再認証を求めることなく、子アプリケーション（ネストされたアプリ）のためにトークンの受け渡しを静かに実行できるように設計されたものです 。この仕組みは、標準的なOAuthトークン要求に特別なパラメータ（brk_client_id、brk_redirect_uri）を埋め込むことで機能します 。

Byrne氏が発見したのは、このメカニズムに重大な欠陥があったことです。特に影響を受けたのは、Azure PortalのIAM管理コンポーネントであるADIbizaUXクライアントが、キャッシュされたAzure Portalのリフレッシュトークンを仲介し、Microsoft Graph APIへのアクセストークンを要求するフローでした 。通常、リフレッシュトークンの交換時には条件付きアクセスの評価が行われますが、NetSPIの調査によると、ADIbizaUXを介したNAAフローをMicrosoft Graphリソースに対して使用した場合、条件付きアクセスポリシーは一切評価されず、設定されているポリシーに関係なくアクセストークンが発行されていました 。さらに、Microsoft Intuneポータル拡張機能に関連する2つのクライアントIDでも、同様のバイパス動作が確認されています 。

攻撃シナリオ：侵害後の検知されない持続的攻撃

この攻撃には前提条件として、Azure Portalのリフレッシュトークンが盗まれている必要がありますが、侵害後の持続的な攻撃や水平展開において極めて有効な手法です 。攻撃は次の4段階で進行します。

1. 初期侵害：攻撃者はまず、フィッシングや中間者攻撃（AITM）プロキシなどにより、login.microsoftonline.comを標的にして、有効なAzure Portalのリフレッシュトークンを窃取します 。
2. NAA経由のトークン仲介：攻撃者は盗んだAzure Portalリフレッシュトークンと、ADIbizaUX（またはIntuneポータル拡張機能）を介したNAAフローを使用し、それをMicrosoft Graphのアクセストークンと静かに交換します 。
3. すべての制御をバイパス：Graphトークンは条件付きアクセスの評価なしに発行されます。MFAプロンプト、デバイス準拠チェック、場所の制限など、明示的に構成されたポリシーがすべて無視されます 。
4. 持続的攻撃と水平展開：ADIbizaUXは広範な事前同意済みのGraph権限を持ち、ユーザー、グループ、サービスプリンシパル、アプリケーション、ディレクトリ、さらには条件付きアクセスポリシー自体を管理するための非公開APIを公開しています。これらの操作はログに記録されないため、完全に検知を逃れることができます 。

ただし、この脆弱性には限界もあります。盗まれたAzure Portalリフレッシュトークンには固定の24時間という有効期間があり、更新もできないため、持続可能な攻撃の時間枠は限定的です 。また、攻撃者は事前に被害者のリフレッシュトークンを入手している必要があるため、これは侵害後の権限昇格および持続手法であり、リモートコード実行（RCE）のようなものではありません 。それでも、Microsoft Security Response Center（MSRC）はこの問題を中程度の深刻度と評価しました 。

Microsoftの対応：CVEなしのサーバーサイド修正

NetSPIは2026年3月17日にこの問題をMSRCに報告しました 。MSRCはこれを中程度の深刻度の脆弱性と分類し、サーバーサイドで修正プログラムを展開しました。修正後のテストでは、以前は成功していたNAAフローが、条件付きアクセスポリシーが適用される場合に、正しくAADSTS53003アクセスブロックエラーを返すことが確認されています 。Microsoftはこの問題にCVE-IDを割り当てておらず、修正に顧客側の対応は必要ありませんでした 。

より広い文脈：同一日に開示された2つの条件付きアクセスバイパス

2026年6月22日、研究者らにより2つの異なるEntra IDの条件付きアクセスバイパス手法が同日に公開されました 。

発見内容	情報源	メカニズム	Microsoftの対応
NAA / BroCI バイパス	NetSPI (Thomas Byrne氏)	ADIbizaUXおよびIntuneポータル拡張機能を介したNested App Authenticationトークン仲介の悪用	MSRCにより中程度の深刻度として修正済み。現在はAADSTS53003エラーを返す
リソース除外バイパス	Dirk-jan Molenaar氏 (dirkjanm.io)	「すべてのリソース」を対象とし、少なくとも1つの除外リソースがあるポリシーが、ベースラインのOIDC/ディレクトリスコープのみを使用するGraphトークン要求に対してバイパスされる可能性	Microsoftが問題を認識し、2026年6月15日からベースラインスコープの強制適用を開始。Entra管理センターから早期オプトインも可能

2026年のMicrosoftによる条件付きアクセス強制に関する広範な変更

MicrosoftはNAAバイパスの修正に加え、2026年中に条件付きアクセスの適用ギャップを段階的に解消しています。

• 2026年3月27日～6月（段階的展開）：リソース除外を含む「すべてのリソース」を対象とするCAポリシーの適用方法を変更。以前は、ポリシーに1つでもリソース除外がある場合、openid、profile、User.ReadなどのベースラインOIDCスコープのみを要求するサインインは、条件付きアクセスを完全にバイパスできていました。この変更により、除外がある場合でも「すべてのリソース」を対象とするポリシーが評価されるようになりました 。Microsoftは影響を受けるテナントに、Message Centerエントリ MC1223829 を通じて通知しました 。
• 2026年6月15日：Dirk-jan Molenaar氏が開示したリソース除外バイパスを閉じるため、ベースラインスコープの強制適用を開始しました 。
• 2026年3月31日：マイクロソフト以外のマルチテナントアプリケーションに対するサービスプリンシパルなしの認証の廃止を強制適用。すべてのアプリケーションが登録済みのサービスプリンシパルを使用して認証する必要があります。そうでない場合、ログインフローは失敗します 。
• 2026年6月：カスタムコントロールを外部MFAに置き換えること、資格情報登録時の条件付きアクセスの一貫した適用、セルフサービスパスワードリセット（SSPR）に明示的に登録された認証方法を要求することなど、より広範なEntra IDセキュリティアップデートを発表しました 。

防御担当者への重要ポイント

• NAAバイパスはサーバーサイドで修正済みです。特定のNetSPIの調査結果に対するテナント側の対応は不要です 。
• リソース除外バイパスについては、Entra管理センターでベースラインスコープの強制適用オプションを有効にし、適切なCA評価を確保してください 。
• AADSTS53003エラーコードを監視してください。これは、権限のないNAAベースのトークン交換を正しくブロックするようになりました 。
• ログに記録されずに動作するADIbizaUXの非公開APIは引き続き懸念事項です。組織はAzure Portalのサインインログとトークン発行パターンを注意深く監視する必要があります 。
• 2026年3月31日をもってサービスプリンシパルなしの認証は廃止されました。すべてのマルチテナントアプリに登録済みのサービスプリンシパルがあることを確認してください 。