「Azure」のファイアウォールにルール回避のおそれ - MSは仕様と説明

「Microsoft Azure」のファイアウォールにおいて、「Azure Service Tag」に基づくルールがバイパスされる問題が指摘されている。指摘に対してマイクロソフトは設計どおりとして脆弱性と認めておらず、正しく機能を理解して利用するようガイダンスを公開した。

「Azure」では、特定のサービスや一連のIPアドレス範囲を管理できるよう「Azure Service Tag」の機能が用意されているが、Tenableは、信頼できるサービスからのリクエストを偽造することで、「Azure Service Tag」に基づくファイアウォールルールをバイパスできるとし、脆弱性として報告した。

Tenableでは1月にマイクロソフトに報告。その後調整のもと今回の公開に至った。同脆弱性は、Azureで提供されている11サービスに影響があるとし、データの整合性と機密性への影響から重要度を「高（High）」と評価している。

報告を受けたマイクロソフトは、Tenableへ報奨金を支払う一方、調査の結果「Azure Service Tag」は設計どおりに機能していると説明。機能の見直しなどは行わず、使用方法や目的が誤解されやすいとして、ベストプラクティスなどを説明するガイダンスを公開した。

同ガイダンスで同社は、「Azure Service Tag」をセキュリティの境界として取り扱うべきではないと説明。検証による制御とあわせてルーティング機能としてのみ使用するべきであることを強調した。

（Security NEXT - 2024/06/04 ） ツイート

PR

関連記事

9店舗で未利用口座の印鑑票を紛失 - 旭川信金
「Apache StreamPipes」に権限昇格の脆弱性 - 修正版が公開
先週注目された記事（2025年12月28日〜2026年1月3日）
米当局、「MongoDB」脆弱性の悪用に注意喚起
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
スパム対策機器にゼロデイ攻撃、ディレクトリサーバに横展開 - 慶応大
高齢者調査名簿や調査票が所在不明に - 名古屋市
ボランティア連絡用端末で誤送信、メアドが流出 - 奈良県
寝台列車「TWILIGHT EXPRESS」の乗客情報を消失 - 誤操作か
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も