セキュリティ企業Silverfortは、Microsoft Entra IDの「Agent ID Administrator」ロールに設計上の重大な欠陥を発見したと発表しました。本来はAIエージェントのライフサイクル管理専用として設計されたこのロールが、テナント内のほぼすべてのアプリケーション・サービスプリンシパル(サービスアカウント)を変更できる状態になっていたとSilverfortは述べています。Microsoftは2月24日に問題を受け取り、4月9日までに全クラウド環境への修正を完了しました。
Silverfortの報告によると、Agent ID Administratorロールを付与されたユーザーは本来対象外であるはずの任意のサービスプリンシパルのオーナーになることができ、さらにそのサービスプリンシパルに自分自身の認証情報を追加して「なりすまし」を実現できたとされています。対象サービスプリンシパルが高度な権限——特に特権ディレクトリロールや影響の大きいGraph APIの許可——を持っていた場合、攻撃者はそのテナント全体を掌握できる状態だったことになります。Silverfortの調査では、テナントの約99%に少なくとも1つ以上の特権サービスプリンシパルが存在し、そのうち半数以上がAIエージェントIDを利用しており、1テナントあたり平均100件程度のエージェントIDが存在していたと報告されています。
X上では「AIエージェントに新たなID・権限モデルを導入するスピードがセキュリティ設計を追い越してしまっている」という批判と「Microsoftがパッチを素早く出したことは評価できる」という両論が見られました。r/sysadminでは「Entra Agent IDを有効化している環境は全数見直すべき」という実務的な警告が多くのアップボートを獲得しています。Hacker Newsでは「AIエージェントのアイデンティティガバナンスは2026年最大のセキュリティ課題になりつつある」という議論が展開され、ゼロトラスト(ネットワーク内のすべての通信を信頼せず検証するセキュリティモデル)設計の重要性が強調されました。
修正後は、Agent ID Administratorロールがエージェント関連以外のサービスプリンシパルに対してオーナー権限を設定しようとすると「Forbidden」エラーが返されるようになっています。CSO Onlineは今回のケースを「AIエージェント向けの新しい権限モデルが急ピッチで導入された結果、機能横断的な権限境界の検証が不十分だった典型例」と評しています。AIエージェントの企業利用が加速する中で、最小権限の原則(Principle of Least Privilege)をエージェントIDにも厳格に適用する設計・運用の見直しが急務となっています。