出典: Security NEXT – https://www.security-next.com/177585
「Azure Bastion」「SharePoint Online」に深刻な脆弱性が発見、既に修正済み
マイクロソフトが提供するクラウドサービス「Azure Bastion」と「SharePoint Online」に、非常に深刻な脆弱性が報告されました。これらの脆弱性は既に修正されており、現時点で悪用の報告はありません。
主要なポイント
- Azure Bastionの脆弱性(CVE-2025-49752): 認証情報の再利用により認証をバイパスし、権限昇格が可能となる問題が確認されました。
- SharePoint Onlineの脆弱性(CVE-2025-59245): 信頼できないデータのデシリアライズにより、リモートから任意のコードが実行される恐れがあります。
- 脆弱性の深刻度: 両脆弱性はCVSSv3.1でそれぞれ10.0、9.8と評価され、最高レベルの「クリティカル」と判定されています。
- 対応状況: マイクロソフトはクラウド側で対策を完了しており、ユーザー側での追加対応は不要としています。
- 悪用の有無: 現時点でこれらの脆弱性を悪用した事例は確認されていません。
技術的な詳細や背景情報
Azure Bastionは、Azure仮想ネットワーク上のリソースに対し安全にリモートアクセスを提供するサービスです。今回の脆弱性は、認証情報を不正に再利用することで、本来必要な認証を回避し、より高い権限を取得できる点が問題となりました。これは「認証バイパス」と「権限昇格」と呼ばれる攻撃手法に該当します。
SharePoint Onlineは、企業向けのクラウドベースのドキュメント管理・共有サービスです。今回の脆弱性は「デシリアライズの脆弱性」と呼ばれ、信頼できない外部データをプログラムが処理する際に悪意あるコードが実行されてしまう問題です。これにより、攻撃者はリモートから任意のコードを実行し、システムを乗っ取る可能性があります。
脆弱性の評価に用いられるCVSSv3.1(共通脆弱性評価システム)は、脆弱性の深刻度を数値とランクで示す国際的な基準であり、10.0が最大値です。今回の脆弱性はほぼ最大値に近いスコアであるため、非常に危険度が高いことを示しています。
影響や重要性
これらの脆弱性は、マイクロソフトの主要なクラウドサービスに存在したため、企業や組織のシステムセキュリティに大きな影響を与える可能性がありました。特に権限昇格やリモートコード実行は、攻撃者にとって非常に有利な攻撃手段であり、情報漏洩やシステムの完全な制御奪取につながる恐れがあります。
しかし、マイクロソフトが迅速にクラウド側で修正を適用し、利用者側での追加対応が不要と発表しているため、被害拡大は防がれています。今回の対応はクラウドサービスの強みである「即時修正・展開」の利点を示す好例とも言えます。
まとめ
マイクロソフトの「Azure Bastion」と「SharePoint Online」に発見されたクリティカルな脆弱性は、認証バイパスやリモートコード実行を可能にするものでしたが、既にクラウド側で修正が完了しています。利用者は特別な対応を求められていませんが、今後もクラウドサービスの脆弱性情報には注意を払い、最新の情報を確認することが重要です。
セキュリティの専門家としては、クラウドサービスの脆弱性は即時に修正されることが多いものの、万が一に備えた監視体制や多層防御の強化を推奨します。
