企業のクラウド活用が進む中、Microsoft AzureのRBAC（ロールベースアクセス制御）は、ユーザーやシステムに対するアクセス制御の基盤として広く利用されています。しかしこのRBACにおいて、一部の標準ロールに過剰な権限が含まれている実態を、セキュリティ企業Token Securityが明らかにしました。攻撃シナリオによっては、Azure環境や接続されたオンプレミス環境が危険にさらされる可能性もあります。

RBACとは何か

AzureにおけるRBACでは、「誰が」「どのリソースに」「どの操作を行えるか」をロールに基づいて制御します。たとえば「Reader（閲覧専用）」や「VM Contributor（仮想マシン管理者）」など、用途別に多くの**プリセットロール（標準ロール）**が用意されており、これらをユーザーやグループに割り当てて運用します。

過剰な権限を持つ標準ロール

Token Securityの調査によると、「Managed Applications Reader」など10種類以上の標準ロールに“*/read”という包括的な読み取り権限が含まれており、本来想定されていないリソース情報にもアクセス可能な状態だったといいます。

さらに、Azureの一部API設計の不備により、閲覧専用ロールのユーザーでもVPN接続に必要な事前共有キー（PSK）を取得できるという深刻な問題も判明。このキーを用いれば、攻撃者は外部ネットワークからAzure内部にアクセスし、さらにはオンプレミス環境へ横展開することすら可能になります。

攻撃シナリオ（例）

1. 攻撃者が、閲覧専用ロールを割り当てられたユーザーの認証情報を入手
2. Azure APIを通じてVPN接続キー（PSK）を取得
3. 正規ユーザーを装ってAzure内部ネットワークにアクセス
4. 社内システムやオンプレミス環境への侵入も可能に

対策方法

Token Securityは、以下の対策を推奨しています：

• 不要な標準ロールの利用を中止・見直す
• ロール割り当てのスコープ（適用範囲）を最小限にする
• 必要最小限の操作だけを許可するカスタムロールを作成して代替する

Microsoftの対応

VPNキーの取得問題については、すでに修正済みとされています。ただし、過剰な読み取り権限を持つ標準ロールについては、公式ドキュメントへの注意喚起にとどまり、ロール自体の設計変更や制限といった技術的対応は行われていません。

まとめ：クラウド環境における「見えすぎる閲覧権限」は、管理者にとって見落とされがちなリスクです。特に標準ロールの利用時は、割り当て前に実際に付与される権限内容を精査し、必要であればカスタムロールによる厳格な制御を行うことが、セキュリティ上のベストプラクティスといえるでしょう。

引用元記事：https://rocket-boys.co.jp/security-measures-lab/microsoft-azure-api-vulnerability-and-excessive-role-permissions-may-lead-to-vpn-key-leakage/