多数の組織のWindows管理者が、MACEと呼ばれる新しいMicrosoft Entra IDの「漏えいした認証情報」検出アプリの展開において、誤検知によって引き起こされた広範囲に及ぶアカウントロックアウトを報告している。
これらのアラートとロックアウトは昨夜から始まっており、一部の管理者は、アカウントが他のサイトやアプリケーションで使用されていない固有のパスワードを持っているため、誤検出であると考えている。
Microsoft Entra ID(旧Azure Active Directory)は、クラウドベースのIDおよびアクセス管理サービスで、組織によるユーザーIDの管理とリソースへの安全なアクセスを支援する。
今朝早く投稿されたRedditのスレッドでは、Windowsの管理者が、ダークウェブなどに流出した認証情報を持つユーザーアカウントが見つかったことを示す複数のアラートをEntraから受け取ったと報告している。
これらのアカウントは自動的にテナントからロックアウトされ、組織ごとに多数のユーザーが影響を受けた。
「私たちも…約1/3のアカウントが1時間前にロックアウトされました。私たちはMSPなので、これは私たちのクライアントにも起こっていると思います」とRedditに投稿した管理者がいる。
ロックアウトされたアカウントには、不審なサインインなどの侵害の兆候は見られず、MFAで保護されていた。さらに、Have I Been Pwned(HIBP)のような侵害通知サービスでは、これらのアカウントに一致するものはなかった。
Redditに掲載された別のレポートでは、これが広範囲に及んでいることをさらに裏付けており、あるMDRプロバイダーは、さまざまな顧客から流出した認証情報に関して、マイクロソフトから一晩で20,000件以上の通知を受け取ったと述べている。
Microsoftはこれらのロックアウトの原因を公には確認していないが、影響を受けた組織の1つに対して、Microsoftは “MACE Credential Revocation “と呼ばれる新しいエンタープライズアプリケーションのロールアウトに関する問題が原因であると伝えた。
「エンジニアから連絡がありました。危殆化の兆候はない。彼はチケットを妥協からロックアウトに変換するのに1時間必要だが、安堵のため息をつくことができる。エラーコードは53003 for conditional access policy」と管理者がRedditで報告した。
複数の人が、このアプリケーションがアラートを受信し始める直前にテナントに追加されたことを確認している。
MACEクレデンシャル失効アプリは、漏えいしたクレデンシャルを検出し、侵害された可能性のあるアカウントをロックアウトするために使用されるMicrosoft Entraの機能です。
漏えいしたクレデンシャルに関するすべてのアラートを調査し、アカウントが漏えいしていないことを確認する必要がありますが、一度に大量のアラートを受け取った場合は、このロールアウトが原因である可能性があります。
この件に関してマイクロソフトに問い合わせたが、現時点では回答は得られていない。
Comments