セキュリティ

SECURITY

公開：2025-02-13

【CVE-2025-21415】Azure AI Face Serviceで認証バイパスの脆弱性が発見、特権昇格のリスクが深刻化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Azure AI Face Serviceで特権昇格の脆弱性を発見
• 認証のスプーフィングによるバイパスが可能に
• CVSSスコア9.9のクリティカルな脆弱性として評価

Azure AI Face Serviceの認証バイパスの脆弱性

Microsoftは2025年1月29日、同社のAzure AI Face Serviceにおいて特権昇格の脆弱性【CVE-2025-21415】を公開した。この脆弱性は認証のスプーフィングによってバイパスされる可能性があり、権限のある攻撃者がネットワーク経由で特権を昇格させることが可能になっている。^[1]

この脆弱性はCommon Weakness Enumeration（CWE）においてCWE-290として分類されており、認証のスプーフィングによるバイパスの脆弱性として定義されている。CVSSスコアは9.9と評価され、ネットワークからのアクセス可能性が高く、攻撃の複雑さが低いとされている。

Microsoftは本脆弱性に対して2025年2月11日に更新情報を公開し、対策を講じている。CISAによる評価では、本脆弱性の自動化可能な攻撃の可能性は確認されていないものの、技術的な影響は重大であると評価されている。

Azure AI Face Service脆弱性の詳細

認証のスプーフィングについて

認証のスプーフィングとは、システムの認証メカニズムを欺くことで、不正なアクセスを可能にする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規ユーザーになりすまして認証をバイパス
• セッション管理の脆弱性を悪用した不正アクセス
• 権限昇格による特権の取得が可能

認証のスプーフィングは、CVE-2025-21415の事例のように、クラウドサービスにおいて特に深刻な影響をもたらす可能性がある。Azure AI Face Serviceの脆弱性では、認証のバイパスにより権限のある攻撃者が特権を昇格させることが可能となり、サービスのセキュリティに重大な影響を及ぼす可能性がある。

Azure AI Face Serviceの脆弱性に関する考察

Azure AI Face Serviceの認証バイパスの脆弱性は、クラウドサービスのセキュリティ設計における重要な課題を浮き彫りにしている。特に顔認識のような機密性の高いAIサービスにおいては、認証システムの堅牢性が極めて重要であり、スプーフィング対策の強化が不可欠である。今後はゼロトラストアーキテクチャの採用やマルチファクター認証の強制適用など、より強固なセキュリティ対策の実装が求められるだろう。

クラウドサービスの普及に伴い、AIサービスのセキュリティリスクは今後さらに増大することが予想される。特に顔認識技術は個人情報と密接に関連するため、プライバシー保護の観点からも、より厳格なアクセス制御と監視体制の構築が必要になるだろう。サービスプロバイダーには、定期的なセキュリティ評価と迅速な脆弱性対応が求められている。

将来的には、AIサービスの特性を考慮した新たなセキュリティフレームワークの確立が重要になると考えられる。認証システムの強化だけでなく、AIモデル自体のセキュリティや、データの暗号化、アクセスログの詳細な分析など、多層的な防御戦略の採用が望まれる。Microsoft社には、業界のリーディングカンパニーとして、より安全なAIサービスの実現に向けた取り組みを期待したい。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21415, (参照 25-02-13).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧