概要
Microsoft Exchange Online において、認可不備(Missing Authorization / CWE-862)に起因する権限昇格の脆弱性が確認されました。
認証済みの攻撃者がネットワーク経由でより高い権限を取得できる条件であり、CVSS スコアは 9.6(Critical)です。Exchange Online は組織のメール基盤として広く使用されているため、権限昇格が成立した場合の影響は重大です。
本脆弱性は Microsoft のマネージドサービス上の問題であるため、Microsoft 側で修正が適用されます。
リスク評価
Exchange Online は組織の電子メール通信を管理するコアサービスであり、機密情報を含むメール・予定表・連絡先などへのアクセス権限が集中しています。低権限の認証ユーザーがより高い権限(管理者権限など)を取得できた場合、組織全体のメール監視や設定変更などが可能となるリスクがあります。
CWE-862(Missing Authorization)とは、特定の操作に対する認可チェックが実装されていないケースで、認証(誰であるか)は正しくても認可(何ができるか)の検証が不十分な状態です。Exchange Online の管理者は Microsoft 365 コンプライアンスセンターの監査ログを使用して不審な操作を検出することを推奨します。
CVSSベクトル
| 指標 | 値 |
|---|---|
| 攻撃ベクトル(AV) | ネットワーク (N) |
| 攻撃複雑度(AC) | 低 (L) |
| 必要権限(PR) | 低 (L) |
| ユーザー操作(UI) | 不要 (N) |
| スコープ(S) | 変更あり (C) |
| 機密性(C) | 高 (H) |
| 完全性(I) | 高 (H) |
| 可用性(A) | 高 (H) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響範囲 |
|---|---|---|
| Microsoft Exchange Online | Microsoft | マネージドサービス(Microsoft が管理) |
修正バージョンと回避策
Microsoft のクラウドサービスとして提供されているため、Microsoft 側で修正が適用されます。
推奨アクション:
- Microsoft MSRC の更新情報を確認する
- Exchange 管理センターで管理者ロールや権限に不審な変更がないか確認する
- Microsoft 365 のセキュリティと監査ログを定期的に確認する
関連リンク
データソース: NVD (NIST), Microsoft MSRC
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。