最近の Microsoft は Microsoft 365 関連でのインシデントが従来に比べて増加傾向にあるのかなと思っていたのですが、ここにきて Azure AD において比較的大きめな重大なインシデントが発生していたようです。
詳細は以下のサイトに記載されていました。
この辺りを見るとマルチテナント構成のアプリがあったときに必要となる AuthZ のチェックが行われておらず、意図しないケースでのアクセスを容認してしまっていたということです。
このパターンの詳細と対処も上記サイトに記載があるので Azure AD とマルチテナントというキーワードに当てはまる場合は一読を行ってシステムへの対処をしておくと良さそうです。
現在はこの問題はパッチが当たって問題が無くなったようなのですが、問題が発生していたタイミングでは XSS の手法で乗っ取りが出来たようなのでかなり危ない内容だったように見受けられました。
クラウドとはいえど人が動くことなのでミスはつきものですが、特に認証という全体に関連する個所は入念な更新を期待したいところですね。
音楽:指輪