Microsoftは、Entra ID保護システムで広範囲にわたるアラートをトリガーした問題を認めています

Microsoftは、Entra ID保護システムの広範なアラートをトリガーした最近の問題を認めており、Dark Webでの資格情報が想定されるため、ユーザーアカウントに高いリスクとしてフラグを立てています。

Microsoft has confirmed an recent issue that led to widespread alerts in its Entra ID Protection system, warning of high-risk user accounts due to alleged credential leaks on the dark web.

Microsoftは、Entra ID保護システムの広範なアラートにつながった最近の問題を確認しました。これは、Dark Webでの資格漏れの疑いによるリスクの高いユーザーアカウントの警告を警告しています。

The alerts, which impacted system administrators globally, were attributed to a combination of an internal token logging error and the rollout of a new security feature called MACE Credential Revocation, causing confusion among IT professionals.

システム管理者に世界的に影響を与えたアラートは、内部トークンロギングエラーとMACE資格情報の取り消しと呼ばれる新しいセキュリティ機能の展開の組み合わせに起因し、ITの専門家間の混乱を引き起こしました。

Token Logging Issue Sparks Alerts

トークンロギングはスパークアラートを発行します

Microsoft identified that it was inadvertently logging a subset of short-lived user refresh tokens for a small percentage of users, deviating from its standard practice of only logging metadata.

Microsoftは、短命のユーザーのリフレッシュトークンのサブセットを少数のユーザーのサブセットに誤って記録しており、メタデータのみを記録する標準的な慣行から逸脱していることを特定しました。

This issue was promptly corrected, and the affected tokens were invalidated to protect users. However, this invalidation process unintentionally generated alerts in Entra ID Protection, indicating that users' credentials may have been compromised.

この問題は迅速に修正され、影響を受けたトークンはユーザーを保護するために無効にされました。ただし、この無効化プロセスは、Entra ID保護に意図せずに生成されたアラートであり、ユーザーの資格情報が損なわれている可能性があることを示しています。

The alerts occurred between 4:00 AM and 9:00 AM UTC on April 20, 2025, and there was no evidence of unauthorized access to these tokens. If any is detected, Microsoft will follow standard security incident response protocols.

アラートは、2025年4月20日に午前4時から午前9時のUTCの間に発生し、これらのトークンへの不正アクセスの証拠はありませんでした。いずれかが検出された場合、Microsoftは標準のセキュリティインシデント応答プロトコルに従います。

MACE Rollout Triggers False Positives

メイスロールアウトは誤検知をトリガーします

Concurrently, Microsoft rolled out its new security feature, MACE Credential Revocation, over the same weekend, aiming to detect and respond to potentially compromised credentials by checking for matches on the dark web and other sources.

同時に、Microsoftは、同じ週末に新しいセキュリティ機能であるMACE資格の取り消しを展開し、Dark Webやその他のソースでの試合をチェックすることにより、潜在的に侵害された資格情報を検出および対応することを目指しています。

However, the rollout led to widespread false positives, with accounts being flagged as high risk despite having strong, unique passwords and multi-factor authentication (MFA) enabled.

ただし、ロールアウトは、強力でユニークなパスワードと多要因認証（MFA）が有効になっているにもかかわらず、アカウントが高いリスクとしてフラグを立てられ、広範囲にわたる誤検知につながりました。

Social media posts and online forums, including Reddit, reported similar experiences, and some administrators noted that even passwordless accounts were affected, further suggesting that the alerts were erroneous.

Redditを含むソーシャルメディアの投稿やオンラインフォーラムは同様の経験を報告し、一部の管理者は、パスワードレスアカウントでさえ影響を受けていることを指摘し、さらにアラートが誤っていることを示唆しています。

One administrator shared on Reddit: "I just got a half dozen alerts for accounts supposedly found with valid credentials on the dark web. ... The six accounts don't have much in common ... There are no risky sign-ins, no other risk detections, everyone is MFA."

Redditで共有した1人の管理者は次のように共有しています。「暗いWebで有効な資格情報があると思われるアカウントについて、半ダースのアラートを持っています。...6つのアカウントにはあまり共通していません...リスクのある看板はありません。他のリスク検出はありません。

The user added that the accounts didn't show any matches on Have I Been Pwned (HIBP), fueling suspicions of a Microsoft error.

ユーザーは、アカウントが私がpwned（hibp）にマッチを表示しなかったと付け加え、Microsoftエラーの疑いを促進しました。

Microsoft's Response and Customer Actions

Microsoftの対応と顧客行動

Microsoft has advised affected customers to use the "Confirm User Safe" feature in Entra ID Protection to resolve the erroneous high-risk flags, as detailed in its documentation.

Microsoftは、影響を受ける顧客に、ENTRA ID Protectionの「ユーザーセーフの確認」機能を使用して、ドキュメントで詳述されている誤ったハイリスクフラグを解決するようアドバイスしています。

This feature allows administrators to manually clear the risk status for affected users. Additionally, Microsoft recommends resetting passwords for any locked accounts and ensuring that MFA is enabled, although many affected accounts already had these measures in place.

この機能により、管理者は影響を受けるユーザーのリスクステータスを手動でクリアできます。さらに、Microsoftは、ロックされたアカウントのパスワードをリセットし、MFAが有効になっていることを保証することを推奨していますが、多くの影響を受けるアカウントはすでにこれらの措置を講じていました。

Administrators can also review sign-in logs in the Microsoft Entra admin center under Monitoring & Health for error codes like AADSTS50053, which indicate account lockouts.

管理者は、アカウントのロックアウトを示すAADSTS50053などのエラーコードについて、監視と健康の下でMicrosoft Entra管理センターのサインインログを確認することもできます。

Ongoing Investigation and Recommendations

継続的な調査と推奨事項

Microsoft is currently conducting a Post Incident Review (PIR) to investigate both the token logging issue and the MACE rollout's false positives.

Microsoftは現在、トークンロギングの問題とMACEロールアウトの誤検知の両方を調査するために、事後インシデントレビュー（PIR）を実施しています。

The PIR will be shared with affected customers through official channels and open support cases. Customers are encouraged to configure Azure Service Health alerts to receive updates on the PIR and future Azure service issues.

PIRは、公式チャネルとオープンサポートケースを通じて、影響を受ける顧客と共有されます。顧客は、Azure Service Health Alertsを構成して、PIRおよび将来のAzure Serviceの問題に関する更新を受信することをお勧めします。

Administrators facing these alerts are advised to:

これらのアラートに直面している管理者は、次のようにアドバイスされています。

The incident has sparked frustration among IT professionals, with posts on X describing the MACE rollout as "ruining" their weekend due to false alarms.

この事件は、ITの専門家の間で欲求不満を引き起こし、Xの投稿は、メイスの展開を誤った警報のために週末を「台無しにする」と説明しています。

One user remarked, "Microsoft rolled out a new dark web credential detection app called MACE this Easter weekend, which promptly ruined my Saturday with its false alarm on my primary M365/Entra ID account."

あるユーザーは、「MicrosoftはMaceこのイースターの週末と呼ばれる新しいDark Web資格検出アプリを展開しました。

Another post highlighted the scale, noting that an MDR provider received over 20,000 notifications overnight.

別の投稿では、MDRプロバイダーが一晩で20,000を超える通知を受け取ったことに注目して、スケールを強調しました。

This incident follows other recent cybersecurity challenges, such as Microsoft's April 2025 Patch Tuesday, which addressed 126 vulnerabilities, including an actively exploited zero-day (CVE-2025_29824). While unrelated to the Entra issue, it underscores the heightened scrutiny on Microsoft's security processes.

この事件は、2025年4月の火曜日のマイクロソフトのパッチなど、最近のサイバーセキュリティの課題に続いています。 ENTRAの問題とは無関係ですが、Microsoftのセキュリティプロセスに関する精査の高まりを強調しています。

Microsoft's swift acknowledgment and corrective actions demonstrate its commitment to user security, but the false positives have highlighted the challenges of rolling out new security features at scale.

MicrosoftのSwiftの承認と是正措置は、ユーザーセキュリティへのコミットメントを示していますが、誤検知は、大規模に新しいセキュリティ機能を展開するという課題を強調しています。

Administrators are urged to remain vigilant, follow Microsoft's guidance, and leverage external monitoring tools to ensure their systems remain secure. For further updates, customers can monitor the Azure Service Health portal or contact Microsoft support directly.

管理者は、警戒し続け、Microsoftのガイダンスに従い、外部監視ツールを活用してシステムを安全に保つように促されます。さらに更新するために、顧客はAzure Service Health Portalを監視するか、Microsoftサポートに直接連絡することができます。