Contents

Microsoft、セキュリティ強化のため Entra ID サインインでの外部スクリプト インジェクションをブロック

Contents

<本文>/images/Microsoft-logo.png

Microsoft は、認証中の外部スクリプトの挿入をブロックする Entra ID の主要なセキュリティ アップデートに取り組んでいることを発表しました。 Secure Future Initiative の一環として、同社はコンテンツ セキュリティ ポリシー (CSP) を更新し、信頼できる Microsoft ドメインからのスクリプトのみがサインイン ページで実行できるようにしました。

この変更のおかげで、クロスサイト スクリプティング (XSS) などの一般的な脅威を軽減できます。知らない人のために説明すると、これは攻撃者がログイン フローに悪意のあるコードを挿入するために使用する手法です。 Microsoft は、堅牢なスクリプト権限により、組織は認証中により強力で信頼性の高い保護層を手に入れることができると述べています。

Microsoftは発表ブログ投稿の中で、新しいCSPルールが2026年10月中旬から下旬から世界中で展開され、施行前に定期的にリマインダーを送信すると述べた。 「更新されたコンテンツ セキュリティ ポリシーは、ブラウザベースのサインイン エクスペリエンス、つまり、login.microsoftonline.com で始まる URL にのみ適用されることに注意してください。」と Microsoft は付け加えました。 「Microsoft Entra 外部 ID には影響はありません。」

ほとんどの組織では、サインイン エクスペリエンスにコードを挿入するツールやブラウザー拡張機能に依存しない限り、何も変わりません。 Microsoftは、新しいCSPが公開されると、これらのツールは機能しなくなると警告している。ただし、ユーザーは引き続き通常どおりサインインできます。

管理者の場合は、ブラウザーの開発コンソールを開いた状態でサインイン フローを実行して環境をテストできます。 CSP 違反は赤色で表示されるため、チームは適用後に機能しなくなる拡張機能やスクリプトを特定するのに役立ちます。

/images/image-6-1-1024x112.png 画像: マイクロソフト

Microsoft によれば、この積極的な措置により、最新のセキュリティ脅威に対する意味のある防御層がさらに追加され、IT チームが展開に先立ってサインイン フローを検証し、すべてがスムーズに機能し続けることを確認することが奨励されています。

*️⃣ 出典リンク:

認証中に外部スクリプトの挿入をブロックしますコンテンツ セキュリティ ポリシー (CSP)クロスサイト スクリプティング (XSS)login.microsoftonline.com/images/image-6-1-1024x112.png