Microsoft Entra ID環境において、大量のユーザーアカウントが突如ロックアウトされる事象が発生した。原因と見られるのは、新たに導入された「MACE Credential Revocation」アプリで、ダークウェブ上に漏洩したと“誤検出”された認証情報に基づく自動制御が誤作動したとされている。影響を受けた管理者らは、実際にはユニークなパスワードを使用していたり、外部漏洩の兆候も見られなかったと報告。

一部のMSPでは全体の3分の1に相当する規模でロックアウトが発生し、MDRプロバイダーには一晩で2万件超のアラートが届いたとの証言もある。Microsoftはこの件について公式声明を出していないが、内部ではMACEの展開による影響と認識されており、エンジニアとのやり取りで誤作動が原因である可能性が高いとみられている。

誤検知が招いた混乱 Entra環境でのアカウントロック発生状況

Microsoft Entra IDにおいて、新機能「MACE Credential Revocation」の導入直後から複数の企業で大量のアカウントロックが発生した。影響はRedditに投稿された複数の報告から広がりを見せ、ある管理者は「全体の3分の1に相当するアカウントが一斉にロックされた」と証言。被害を受けたのは一般企業だけではなく、MSP(マネージドサービスプロバイダ)やMDR(マネージド・ディテクション&レスポンス)プロバイダなどのセキュリティベンダーも含まれており、あるMDR事業者はわずか一晩で2万件を超える漏洩認証情報通知を受け取ったという。

さらに注目すべきは、ロックされたアカウントがすでに多要素認証(MFA)を有効化しており、侵害の兆候も検出されなかった点である。Have I Been Pwnedなどの漏洩確認サービスでも一致情報は見つからず、結果的にアカウントの誤検知である可能性が急浮上した。Microsoftからの正式なアナウンスはまだ出ていないが、一部の担当者は今回のトリガーが「MACEアプリケーションのサイレント導入によるもの」と社内向けに説明しており、条件付きアクセスエラー「53003」も一部環境で確認されている。

自動化の裏に潜むリスク MACE導入が示すセキュリティの過渡期

MACE Credential Revocationは、認証情報の漏洩が疑われるアカウントを即時に検知・ロックアウトするMicrosoft Entraの新機能である。本来であれば、迅速な対応で不正アクセスを未然に防ぐセキュリティ強化策として歓迎されるべき存在だが、今回はその初期展開に伴う副作用が顕著となった。複数のテナントでこのアプリが「こっそり」追加されたとされており、展開時に警告や詳細通知がなかったことも混乱を拡大させた要因と考えられる。

MACEの設計は「疑わしきは即遮断」に基づいており、仮に誤検知であってもユーザーがロックされる可能性を排除できない。セキュリティ重視の姿勢は評価できるが、実際には多要素認証やユニークなパスワードが導入済のアカウントまで一律で対象となっており、ユーザー体験とのバランスが問われる事態に発展した。今回の件は、AIや機械学習ベースのセキュリティ機能がもたらす利点と危険性の双方を浮き彫りにしており、今後は誤検知時の復旧手段や通知体制の整備が重要となるだろう。

信頼と検証の狭間 クラウド認証環境に求められる次の一手

今回の一連のロックアウト事例から見えてくるのは、クラウドベースのID管理における「信頼性と検証性」のバランスの難しさである。Entra IDのような統合管理プラットフォームは利便性に優れる一方で、システム変更が即座に広範囲に影響を及ぼすという特性を持つ。特にMACEのような自動検出・即時対応型のセキュリティ機能は、その制度設計や導入プロセス次第で、ユーザーへの直接的な不利益となるリスクがある。

今回のロックアウト対象となったアカウントの多くが、他サービスと共用されていない独自パスワードを使用していた点や、外部漏洩との照合結果が一致しなかった点は、MACEのアルゴリズム精度に課題がある可能性を示唆している。Microsoftが導入意図を公表していない現状では、今後の展開にも不安が残る。今後は一方的なロックアウトではなく、警告通知→確認→制限措置といった段階的なフローが再評価される必要がある。信頼に基づく管理を目指すEntra IDにとって、今回の件は制度設計の見直しを促す重要な転機となるかもしれない。

Source:BleepingComputer