Microsoft

マイクロソフト社は、週末に発生したEntraアカウントのロックアウトは、社内システムに誤ってログインした短命のユーザーリフレッシュトークンの無効化が原因であったことを確認した。

土曜日の朝、多くの組織から、アカウントが認証情報を漏えいし、アカウントが自動的にロックアウトされたという Microsoft Entra のアラートを受信し始めたという報告がありました。

影響を受けた顧客は当初、アカウントのロックアウトは、アラートが発行される数分前にインストールされた「MACE Credential Revocation」と呼ばれる新しいエンタープライズアプリケーションのロールアウトに関連していると考えていた。

しかし、影響を受けた組織の管理者が、マイクロソフトから送信されたアドバイザリを共有したところ、この問題は、影響を受けたアカウントのユーザ・リフレッシュ・トークンを、メタデータではなく誤ってログに記録したことが原因であったことが判明しました。

実際のアカウント・トークンを記録していたことに気づいた後、トークンの無効化を開始したため、誤ってアラートとロックアウトが発生したとのことです。

「25年4月18日(金)、マイクロソフトは、ごく一部のユーザーについて、短命のユーザー・リフレッシュ・トークンのサブセットを内部的に記録していることを確認した。

「内部ロギングの問題は直ちに修正され、チームは顧客を保護するためにこれらのトークンを無効にする手順を実行しました。 無効化プロセスの一環として、Entra ID Protectionで、ユーザーの認証情報が漏洩した可能性があることを示すアラートが誤って生成されました。

「これらのアラートは、4/20/25午前4時(UTC)から4/20/25午前9時(UTC)の間に送信されました。これらのトークンへの不正アクセスの兆候はなく、不正アクセスがあったと判断した場合は、当社の標準的なセキュリティインシデント対応およびコミュニケーションプロセスを実行します。

マイクロソフトによると、影響を受けた顧客は、フラグを立てたユーザーのアカウントへのアクセスを回復するために、Microsoft Entraで“Confirm User Safe“フィードバックを行うことができる。

同社によると、調査終了後、PIR(Post Incident Review)を発表し、影響を受けたすべての顧客と共有するとのこと。

また、土曜日にマイクロソフト社に問い合わせたが、この件に関する回答はまだ得られていない。