認証バイパスとは何か?
認証バイパスは、攻撃者が有効な認証情報を提示せずにシステム、アプリケーション、またはリソースへアクセスできてしまう脆弱性です。暗号化を破る、パスワードを解読するのではなく、攻撃者はシステムを騙して既に認証済みであると信じ込ませたり、認証メカニズム自体を完全にスキップしたりします。
親となる弱点であるCWE-287は、製品が認証を正しく実装していないため、攻撃者が他のユーザーの身元を引き受けることができるというコア条件を定義しています。すべての個別バイパスのサブタイプは、MITRE CWE階層内でこの分類に該当します。
認証バイパスは、近年最も深刻な侵害の原因となっています。SecurityWeekによると、2023年にMOVEit Transferを悪用したCl0pランサムウェアキャンペーンは、多くの組織や個人に影響を与えました。CISAのアドバイザリによれば、LockBit 3.0のアフィリエイトは「Citrix Bleed」脆弱性を利用し、ユーザー名、パスワード、MFAトークンなしでセッションを確立しました。
OWASP WSTGは、コアメカニズムを説明しています。リクエストを改ざんし、アプリケーションを騙してユーザーが既に認証済みであると信じ込ませることで、認証をバイパスできる場合が多くあります。攻撃者は、URLパラメータの変更、フォームの操作、セッションの偽造などによってこれを実現します。
これらのバイパスの仕組みを理解すれば、より効果的に防ぐことができます。
認証バイパスはどのように機能するか?
認証バイパスは、システムが身元を検証する方法の弱点を突きます。認証ゲートに正面から挑むのではなく、攻撃者はその回避経路や抜け道、裏口を見つけます。
コアメカニズム
すべての認証システムは基本的なフローに従います。ユーザーが認証情報を提示し、システムがそれを検証し、セッショントークンを発行またはアクセスを許可します。認証バイパスはこのフローのいずれかのステップを標的とします:
- 認証を完全にスキップする。 攻撃者は、認証ゲートのない機能、APIエンドポイント、または代替インターフェースにアクセスします。認証チェックのないREST APIやデバッグポートは、誰でも重要なリソースに直接到達できてしまいます。
- 認証入力の操作。 攻撃者は、システムが身元証明として信頼しているクライアント側データを改ざんします。Cookie値を「LOGGEDIN」に設定したり、隠しフォームフィールドを「admin=true」に変更したりすることで、設計の甘いシステムを騙してアクセスを許可させます。
- ロジックの欠陥を悪用。 認証コードが誤ったブール論理を使用したり、条件の評価順序が間違っていたり、エッジケースの処理に失敗したりします。認証条件式の演算子の誤りにより、本来失敗すべきチェックが通過してしまうことがあります(CWE-303)。
- 有効なセッションの乗っ取り。 攻撃者が正規のセッショントークンを傍受またはリプレイします。システムにノンス検証やタイムスタンプチェック、リプレイ防止がなければ、取得したトークンで元のユーザーと同じアクセス権が得られます。
- リカバリメカニズムの悪用。 パスワードリセットフローにスロットリングがなく、推測可能なセキュリティ質問や、第二チャネルによる本人確認がない場合、攻撃者は元のパスワードを知らずにアカウントを乗っ取ることができます。
これらのメカニズムは、実際のインシデントで確認されています。以下の例は、最も一般的なパターンの一つを具体的なシナリオで示します。
段階的な攻撃フロー
強力な認証の背後に管理インターフェースを持つWebアプリケーションを考えます。開発ツール用に構築された内部APIエンドポイント/api/v2/admin/configが、同じ認証ゲートの背後に配置されていませんでした。
攻撃者はディレクトリエニュメレーションでこのエンドポイントを発見し、細工したHTTPリクエストを送信、サーバーは設定データを返し管理者権限を付与します。ログインページは一切触れられていません。
このパターンは CWE-306にマッピングされ、実際の攻撃で繰り返し確認されています。どのタイプのバイパスが存在するかを知ることが、攻撃経路と適切な対策の選定につながります。
認証バイパスの種類
認証バイパスは単一の脆弱性ではなく、CWE-287の下に分類される複数の弱点群です。各タイプは認証フローの異なるポイントを悪用し、それぞれに異なる防御策が必要です。
| タイプ | CWE | 仕組み |
| 認証の欠如 | CWE-306 | 重要な機能やエンドポイントに認証ゲートが存在しません。ネットワークアクセス権があれば誰でも直接到達できます。 |
| 代替経路バイパス | CWE-288 | デバッグポート、内部API、管理インターフェースなどの二次チャネルが、主要経路に適用されている認証制御をバイパスします。 |
| 認証ロジックバイパス | CWE-303 | 誤ったブール演算子や条件評価順序の誤りにより、本来失敗すべき認証チェックが通過します。 |
| クライアント側信頼バイパス | CWE-302 | システムがサーバー側で検証せず、改ざんされたCookie、隠しフォームフィールド、URLパラメータを認証済みの証拠として受け入れます。 |
| セッション固定化 | CWE-384 | 攻撃者が被害者の認証前に既知のセッションIDを設定します。ログイン後、そのIDが被害者の特権セッションとなります。 |
| キャプチャ・リプレイ | CWE-294 | 有効なセッショントークンが傍受され再利用されます。ノンス検証やタイムスタンプチェックがなければ、サーバーはリプレイされたトークンを正規リクエストとして扱います。 |
| デフォルトまたはハードコード認証情報 | CWE-798 | ファームウェア、ソースコード、工場出荷時設定に埋め込まれた認証情報は、ソフトウェア更新やパッチ適用後も残る恒久的なバイパスを生みます。 |
| リカバリバイパスの欠陥 | CWE-640 | スロットリングのないパスワードリセットフロー、推測可能なセキュリティ質問、第二チャネル検証の欠如により、攻撃者が認可なしに認証情報をリセットできます。 |
これらのタイプは排他的ではありません。単一のシステムに複数のバリアントが同時に存在することがあり、連鎖的な攻撃では二つ以上が組み合わされることがよくあります。どのタイプが存在するかを理解することが、正確な脅威モデル構築の第一歩です。
認証バイパスの主な原因
認証バイパスは単一の欠陥から生じるものではありません。設計、実装、運用上のさまざまな失敗が、システムの身元検証にギャップを生み出します。
認証ゲートの欠如または不完全
REST API、管理コンソール、デバッグポート、IoT UARTインターフェースなど、重要な機能に認証要件がありません。 CWE-306は、未認証のワークフローAPI(CVE-2020-13927、CISAの既知悪用脆弱性カタログ掲載)や、未認証ファイルアップロードによるVMwareリモートコード実行(CVE-2021-21972、同じくCISA KEV掲載)など、実際の事例を記録しています。
代替経路の露出
システムが主要インターフェースで認証を要求していても、同じ制御を強制しない二次経路が存在します。 CWE-288がこのパターンを捉えており、エンタープライズソフトウェアの本番環境で最も悪用されやすい根本原因の一つとなっています。
クライアント側データへの信頼
Cookie、隠しフォームフィールド、URLパラメータを認証証拠として利用するシステムは、容易にバイパスされます。 CWE-302がこの弱点を定義しています。
ハードコードおよびデフォルト認証情報
ファームウェア、ソースコード、工場出荷時デフォルトに埋め込まれた認証情報は、恒久的なバックドアを生みます。 CWE-798は CWE Top 25 Most Dangerous Software Weaknesses (2024)にも掲載されています。StuxnetキャンペーンはSCADAシステムのハードコード認証情報(CVE-2010-2772)を悪用し、ルーターファームウェアのデフォルトパスワードも依然として侵入経路となっています。
セッション管理の失敗
ログイン後にセッションIDが再生成されない場合、攻撃者はセッション固定化(CWE-384)を悪用できます。攻撃者が被害者の認証前に既知のセッションIDを設定し、ログイン後にそのIDが認証済みセッションとなります。
暗号制御の弱さ
ノンス検証、タイムスタンプチェック、チャレンジレスポンスメカニズムを実装しないシステムは、キャプチャ・リプレイ攻撃(CWE-294)に脆弱です。傍受された認証トークンは無期限にリプレイ可能です。
リカバリメカニズムの欠陥
スロットリングのないパスワードリセットフロー、メール誤送信の脆弱性、SNSプロフィールから答えが推測できるセキュリティ質問などにより、攻撃者が認可なしに認証情報をリセットできます(CWE-640)。
これらの根本原因は、不正アクセスを超える深刻な影響をもたらします。
認証バイパスの影響とリスク
認証バイパスは孤立した脆弱性ではありません。これは、認証情報の窃取、ラテラルムーブメント、データ流出、ランサムウェア展開へとつながる攻撃チェーンの入口です。
その実際の影響に関するデータは、主要な業界レポートで一貫しています:
- 盗まれた認証情報は、他のベクターと比較して依然として非常に一般的な初期アクセス手段であると 2025 DBIRで報告されています。
- IBM breach reportによれば、世界平均の侵害コストは数百万ドル規模です。
- VPNやエッジデバイスは、同じ報告期間中も攻撃者の注目を集め続けています( 2025 DBIR)。
- 企業認証情報が発見された侵害システムには、標準的なパッチ適用や監視ワークフローの対象外である非管理BYOD(私物端末)エンドポイントも含まれていました( 2025 DBIR)。
攻撃者の手法を理解すれば、それに対抗する強固な防御を構築できます。
攻撃者による認証バイパスの悪用方法
攻撃者は、 ATT&CK frameworkにマッピングされた複数の手法で認証バイパスを悪用します。現代の攻撃では単一のCVEだけでなく、複数CVEの連鎖が一般的です。
認証プロセスの改変(T1556)
T1556は、認証情報の悪用ではなく認証メカニズム自体を直接覆す手法をカバーします。エンタープライズ環境で特に多いサブテクニックは以下の通りです:
- Skeleton Key攻撃(T1556.001): ドメインコントローラー上のLSASS(Local Security Authority Subsystem Service)を攻撃者制御の認証情報でパッチし、次回再起動まで任意のドメインユーザーとして認証可能にします。
- MFAバイパス(T1556.006): hostsファイル改変でMFAコールをlocalhostにリダイレクトし、MFAがサイレントに失敗しても認証が進行します。
- ハイブリッドID悪用(T1556.007): 侵害されたEntra IDグローバル管理者アカウントで新たなPass-Through Authenticationエージェントを登録し、認証情報を収集します。
これらのサブテクニックは、認証判断がオンプレミスとクラウドに分散するハイブリッドID環境で特に有効です。
有効アカウントの悪用(T1078)
攻撃者は既存アカウントの認証情報を取得・悪用します。これはCWE-798(ハードコード認証情報)やCWE-1392(デフォルト認証情報)に直接対応します。システムが工場出荷時の認証情報のまま出荷されると、攻撃者はコードレベルの脆弱性を突かずともアクセスできます。
認証情報ブルートフォースおよびスプレー(T1110)
3つの異なる攻撃タイプがあり、それぞれ異なる防御策が必要です:
- ブルートフォース: 単一アカウントに対して複数のパスワードを試行。アカウントごとのロックアウトで検知可能です。
- クレデンシャルスタッフィング: 流出データから得たユーザー名とパスワードの組み合わせを複数アカウントで試行。
- パスワードスプレー: 単一の弱いパスワードを多数のアカウントで試行。このパターンはアカウントごとのロックアウト閾値を完全に回避します( OWASP認証ガイド参照)。
3つすべてに対応するには独立した制御が必要です。ブルートフォースを止めるロックアウトポリシーでは、数千アカウントに分散した低頻度スプレーは検知できず、クレデンシャルスタッフィングも認証情報自体が有効な場合は検知できません。
Web認証情報の偽造(T1606)
攻撃者は、クラウドAPIトークンや事前認証キーなどの偽造認証情報を生成し、MFAや他の認証保護をバイパスします。
実際のマルチCVE連鎖
近年の大規模キャンペーンの多くは明示的なCVE連鎖を利用しています:
- Cisco IOS XE(2023年): CVE-2023-20198で初期アクセスと特権コマンド実行を獲得し、CVE-2023-20273でroot権限昇格とLuaベースのバックドア設置を実現。
- Ivanti Connect Secure(2024年): 4つのCVE連鎖(CVE-2023-46805、CVE-2024-21887、CVE-2024-21893、CVE-2024-22024)で未認証コマンド実行を達成し、Ivanti独自の整合性チェッカーを操作して検知を回避。
- ロシアAPT(2020年): CVE-2018-13379でFortinet SSL VPNから平文認証情報を抽出し、CVE-2020-1472(Netlogon)と連鎖してドメイン権限昇格を実現( CISAアドバイザリ参照)。
SOCチームにとって、認証バイパスCVEのアラートトリアージは、単独CVE対応ではなく、連鎖する脆弱性悪用の相関クエリを即座に実施すべきことを意味します。どの組織がこれらの攻撃に直面しているかを知ることで、防御の優先順位付けが可能となります。
認証バイパスの影響を受けるのは誰か?
一部の業界やアプリケーションタイプは、特に高いリスクにさらされています。
最もリスクの高い業界
業界別の侵害データは、複数の報告サイクルで一貫したパターンを示しています。インターネット公開サービスへの依存、認証情報を多用するワークフロー、高価値データストアの存在により、特定のセクターは毎年高いリスクに直面しています。
| 業界 | 主な所見 | 出典 |
| インシデント・侵害件数が多く、製造業の侵害の相当割合で認証情報が漏洩。 | ||
| 医療 | 確認された侵害件数が高止まりしており、内部関係者によるものが多い。 | |
| 政府 | ランサムウェアが政府機関の侵害で顕著に確認されている。 | |
| 金融・保険 | IBM 2024レポートによると、平均侵害コストが他業界より高い。 | |
| 重要インフラ | CISAは国家支援攻撃者がランサムウェアアフィリエイトにアクセスを仲介していることを確認。 |
最も標的となるアプリケーションタイプ
特定業界を超えて、いくつかのアプリケーションやインフラカテゴリは、セクターを問わず高いリスクを持ちます。以下は主要な侵害データセットやCISAアドバイザリで頻出しています:
- VPNおよびエッジデバイス: 標的型攻撃が前年比で大幅に増加。
- Webアプリケーション: ブルートフォースや認証情報ベースの攻撃が2025年DBIRで継続的に報告。
- Active DirectoryおよびIDインフラ: サプライチェーン侵害でIDプロバイダー悪用が拡大( ENISA 2024)。
- クラウドサービス・API: CISAは、認証のないTCPベースPLCやBluetoothデバッグUART(シリアルインターフェース)ポートでのIoT/OT認証バイパスを記録。
- 非管理BYODエンドポイント: 侵害された個人端末は企業の可視性外となる場合がある。
これらのカテゴリは、CISAの既知悪用脆弱性リストに毎年登場しています。以下のインシデントは、攻撃者がこれらに到達した場合の実際の悪用例です。
認証バイパスの実例
以下のインシデントは、複数の業界、攻撃グループ、バイパスタイプにまたがります。それぞれが、前述のメカニズムが組織にどのような影響を与えるかを示しています。
Citrix Bleed(CVE-2023-4966)
細工したHTTP GETリクエストと悪意あるHostヘッダーにより、Citrix NetScaler ADCおよびGatewayアプライアンスが有効なセッションクッキーを含むシステムメモリを返しました。LockBit 3.0アフィリエイトや他の脅威グループは、ユーザー名、パスワード、MFAトークンなしで認証済みセッションを確立するためにこれを利用しました。Citrixがパッチを公開する前から悪用が始まっていました。 CISAアドバイザリによれば、GreyNoiseは大規模な悪用活動を観測しています。
MOVEit Transfer(CVE-2023-34362)
Cl0pランサムウェアグループ(CISAによるTA505)は、Progress MOVEit Transferの未認証SQLインジェクション脆弱性を、公開前から数週間にわたり悪用しました。このキャンペーンは最終的に多くの組織や個人に影響を与えました( SecurityWeek)。
Barracuda ESG(CVE-2023-2868)
Mandiantが中国国家支援グループと推定するUNC4841は、Barracuda Email Security Gatewayアプライアンスのゼロデイを数か月間悪用していました。Barracudaは影響を受けたアプライアンスの物理交換を要求しました( BleepingComputer)。
Fortinet FortiOS(CVE-2022-40684)
未認証の攻撃者が、細工したHTTP/HTTPSリクエストで管理インターフェース上の操作を実行可能でした。Fortinetは脆弱性公開時にアクティブな悪用を確認しています( Hacker News)。多くのファイアウォールの設定がこのCVE経由で流出しました。
これらのインシデントは、認証バイパスの進化を示すタイムラインにまたがっています。
認証バイパスのタイムライン
認証バイパスは、以下の各年で継続的に悪用されており、攻撃者のツールや標的選定は多くの組織のパッチ適用速度を上回っています。このタイムラインは、2010年以降この脅威クラスがどのように発展してきたかを示します。
| 年 | イベント |
| 2010 | StuxnetがSCADAシステムのハードコード認証情報(CVE-2010-2772)を悪用し、国家支援サイバー作戦の武器として認証バイパスを実証。 |
| 2018 | CVE-2018-13379(Fortinet FortiOS SSL VPN)が公開。以降5年間で最も悪用された脆弱性の一つとなり、CISAの最悪用リストに毎年掲載、APTやランサムウェアキャンペーンで世界的に利用。 |
| 2019 | CVE-2019-11510(Ivanti Pulse Connect Secure)およびCVE-2019-19781(Citrix ADC/Gateway)が公開。両者ともCISAの最悪用リスト常連となり、政府・重要インフラ標的のランサムウェアキャンペーンで活用。 |
| 2021 | CVE-2021-22893がPulse Connect Secureゲートウェイの未認証リモートコード実行でCVSS 10.0を記録。CISAとIvantiが複数組織の対応を支援。 |
| 2022 | CISAがVMware Workspace ONE Access認証バイパス(CVE-2022-22972)に対し緊急指令ED 22-03を発出。FortinetのCVE-2022-40684は公開当日に悪用を確認。 |
| 2023 | Citrix Bleed、MOVEit、Barracuda ESG、Cisco IOS XEのゼロデイが複数業界に大きな影響を与える。 |
| 2024 | Ivanti Connect Secureの4CVE連鎖により、CISAが連邦機関に「容認できないリスク」として緊急指令ED 24-01を発出。CVE-2024-3400(PAN-OS GlobalProtect)はゼロデイでCVSS 10.0を記録。 |
| 2025 | NIST SP 800-63-4がSP 800-63-3を(2025年8月1日)で置き換え、認証保証レベルとフェデレーション制御を更新 NIST 63B-4。OWASP Top 10はA07:2025認証失敗を指定。CISA BOD 25-01がクラウドセキュリティ構成ベースラインを設定。 |
| 2026 | CWE-288(代替経路バイパス)は、エンタープライズメッセージング、SD-WAN、エンドポイント管理製品の新たなCISA KEV追加脆弱性でも継続的に確認。 |
このタイムライン全体で一貫しているのは、認証バイパスが既知の手法を新たな製品やプラットフォームに適用することで、範囲と深刻度が拡大し続けていることです。効果的な防御には多層的なアプローチが必要です。
認証バイパスの検出方法
これらのバイパスを見つけるには複数の手法が必要です。単一の方法ですべてのバリアントを検出することはできません。これらの手法を同時に実施すべきです。
攻撃パターン認識
各攻撃タイプごとに個別の識別ロジックが必要です。アカウントごとのロックアウトポリシーだけでは パスワードスプレーは検出できません:
- ブルートフォース: 単一アカウントへの失敗が大量発生。
- クレデンシャルスタッフィング: 多数アカウントに分散した失敗が既知流出データと一致。
- パスワードスプレー: 単一の弱いパスワードを多数アカウントで低頻度試行。アカウントごとのロックアウト閾値を完全に回避。
各パターンごとに個別の検出ロジックを維持することが最低限の要件です。単一の閾値に依存すると、その閾値外の攻撃タイプは検知できません。
行動・リスクシグナル分析
アダプティブ認証は、ログインコンテキストに応じて要件を動的に調整します。 OWASP MFAガイドは、認証フロー内で地理情報、IPレピュテーション、デバイスフィンガープリント、アクセス時刻、既知流出認証情報などのリスクシグナル監視を推奨しています。これらのシグナルはリアルタイムのアクセス制御判断に活用し、事後アラートではなく段階的認証をトリガーすべきです。
セッショントークン監視
OWASPセッションガイドで記載されている指標を監視します:
- 認証元と異なるIPからのセッショントークン再利用
- 同一アカウントで異なるエンドポイントからの同時アクティブセッション
- ログアウトや有効期限後も継続するセッションアクティビティ
- 再認証イベントなしでのパスワードやメールアドレス変更
これらのシグナルは、単独で評価するよりもセッション間で相関させることで有効性が高まります。モバイル環境でのセッションIP変更は日常的ですが、同一セッション内でのIP変更と権限昇格試行の組み合わせは異常です。
再認証ギャップ監視
アプリケーションログで、同一セッション内に再認証エントリがないまま完了した高リスクイベントを監視します。これには、再認証なしでのMFA要素変更、新規デバイスログイン時の追加要素チャレンジなし、段階的認証なしで完了するアカウントリカバリフローなどが含まれます。
認証バイパスCWEにマッピングした脆弱性スキャン
CISAブリテンを購読し、公開された認証バイパスCVE、CWE-287、CWE-288、CWE-302、CWE-303、CWE-306を資産インベントリにマッピングして優先的にパッチ適用します。
構造化ペネトレーションテスト
OWASP WSTG 4.4は、構造化された認証テストケースを定義しています。WSTG 4.4.4(認証スキーマバイパス)、WSTG 4.4.11(多要素認証バイパス)、WSTG 4.4.10(代替チャネルでの弱い認証)は、すべてのセキュリティアセスメントで必須スコープ項目とすべきです。
これらの脆弱性を発見するだけでは不十分です。そもそもバイパスが存在しないようにする必要があります。
認証バイパスの防止方法
防止には、標準準拠、認証アーキテクチャ、セキュアコーディング、セッション管理、継続的検証など、あらゆるレイヤーでの制御が必要です。
フィッシング耐性MFAの導入
FIDO2/WebAuthnハードウェアトークンやパスキーを主要なMFAメカニズムとして導入します。 OWASP MFAガイドは、レガシー認証プロトコルのブロック、最新OAuth2またはSAMLの強制、MFA要素変更前の既存要素による再認証を推奨しています。要素変更時にアクティブセッションのみを信頼してはなりません。セッション自体が乗っ取られている可能性があるためです。
NIST SP 800-63-4への準拠
SP 800-63スイートは2025年8月1日付でSP 800-63-4に置き換えられました NIST 63B-4。 NIST 63B-4は、更新された認証保証レベルを定義しています:
- AAL1: 単一要素認証。
- AAL2: 承認済み暗号技術による2要素認証。
- AAL3: 同期可能な認証器は禁止 NIST 63B-4。
連邦標準の対象組織は、以下の技術的制御を評価する前に、認証実装を適切な保証レベルに合わせる必要があります。
セキュアコーディング実践の徹底
OWASPコーディングガイドは、認証バイパスを直接防ぐ制御を指定しています:
- 認証ロジックの集中管理。 リソース要求部分と分離し、代替経路バイパス(CWE-288)を防止します。
- 安全な失敗設計。 すべての認証制御は失敗時にアクセスを拒否しなければなりません。
- 管理機能の同等保護。 管理インターフェースは主要認証と同等以上の保護が必要です。
- エラーレスポンスの標準化。 認証失敗メッセージはどのフィールドが誤りかを示さず、アカウント列挙を防止します。
これらの制御は認証ゲート自体への対策です。次のセクションでは、認証通過直後のセッション管理について説明します。
セッション管理の強化
OWASPセッションガイドの制御を実装します:
- セッション管理には非永続Cookieを使用。
- 認証前後で異なるセッションIDを発行し、セッション固定化(CWE-384)を防止。
- 初回ログイン時にセッションIDの更新を強制するタイムアウトを実装。
- パスワード変更、メール変更、新規デバイスログイン、アカウントリカバリフローには再認証を必須化。
セッションレイヤーの強化は、セッション固定化やトークンリプレイなどの認証後バイパスバリアントを防ぎます。次の防御レイヤーは、すべての認証済みセッションをデフォルトで信頼しないことです。
ゼロトラスト認証の実装
NIST 800-207およびGSA ZTAガイドに基づきます:
- 継続的検証: 認証に成功したユーザーをセッション期間中信頼できるという前提を排除します。
- 侵害前提姿勢: 脅威アクターが既にネットワーク内にいる前提で設計します。
これらの原則は、認証信頼が組織境界を越えて拡張されるフェデレーテッドID環境で特に重要であり、追加の技術的保護が必要です。
フェデレーションアサーションの保護
NIST 63C-4は、バックチャネルアサーション提示、推測不可能なセッションバインディング値、RPからIdPへの認証、最小保証レベル閾値の強制を義務付けています。これらは「必須」要件であり、任意の制御ではありません。
防止と検出は、専用ツールによって最も効果を発揮します。
検出・防止のためのツール
認証バイパスを阻止するには、エンドポイント、IDインフラ、ネットワークエッジ、クラウドサービス全体をカバーするツールが必要です。
脆弱性スキャンとアセスメント
CISA KEVエントリに対して環境を定期的にスキャンし、認証バイパスCVEを資産インベントリにマッピングします。
アイデンティティ脅威検知・対応(ITDR)
専用のITDRソリューションは、Active Directory、Entra ID、IDプロバイダーログを監視し、認証情報の悪用、不可能な移動、権限昇格、セッション異常を検知します。認証イベントとエンドポイント・ネットワークアクティビティを相関させることで、MFAレイヤー下のバイパスも可視化できます。
拡張型検知・対応(XDR)
認証バイパス攻撃は、エンドポイントでの認証情報窃取、ネットワーク横断移動、クラウドリソースアクセスなど複数レイヤーを横断します。 XDRプラットフォームは、これらのテレメトリを単一の調査コンソールに統合し、バイパス発生地点と被害発生地点のギャップを解消します。
AI駆動の調査・対応
行動AIは、認証パターン、ID行動、アクセス異常をリアルタイムで分析し、手動ログレビューよりも迅速に認証情報侵害を発見します。自律型対応機能(侵害IDの隔離、アクティブセッションの失効、ラテラルムーブメントの自動阻止など)は、攻撃者の滞留時間を短縮します。
関連する脆弱性
認証バイパスは、いくつかの関連脆弱性クラスと根本原因、攻撃チェーン、悪用パターンを共有します:
- アクセス制御の不備(OWASP A01:2025): 強制ブラウジングやパラメータ改ざん型の認証バイパスは、アクセス制御失敗と重複します。違いは、認証バイパスは身元確認をスキップし、アクセス制御の不備は身元確認後の権限チェックをスキップする点です。
- SQLインジェクション: MOVEit Transferキャンペーン(CVE-2023-34362)で示されたように、未認証SQLインジェクションは、ログインロジックを制御するDBクエリを操作することで認証自体をバイパスできます。
- サーバーサイドリクエストフォージェリ(SSRF): Ivanti Connect Secure連鎖のCVE-2024-21893はSAMLコンポーネントのSSRFで、認証バイパスと組み合わせて完全侵害を達成。
- パストラバーサル: CVE-2018-13379(Fortinet FortiOS)はパストラバーサルで平文認証情報をダウンロードし、認証バイパスの二次的効果をもたらしました。
- セッションハイジャック: セッション固定化(CWE-384)やトークンリプレイ(CWE-294)は、ログインプロセスではなく認証後セッションレイヤーを悪用する認証バイパスのサブタイプです。
- 権限昇格: 認証バイパスはしばしば権限昇格と連鎖します。Cisco IOS XE攻撃(CVE-2023-20198 + CVE-2023-20273)は、認証バイパスからroot権限取得・バックドア設置までを単一チェーンで実現しました。
これらの関係性を理解することは、脅威モデリングやインシデント対応時に有用です。環境内で認証バイパスが確認された場合、上記の脆弱性クラスも独立した問題ではなく、連鎖的な共悪用の可能性として評価すべきです。
関連CVE
| CVE ID | 説明 | 深刻度 | 影響製品 | 年 |
| Ivanti Endpoint Managerの代替経路による認証バイパスにより、リモート未認証攻撃者が保存された認証情報データを漏洩可能。(CISA KEV 2026-03-09) | 重大(CWE-288) | Ivanti Endpoint Manager | 2026 | |
| Cisco Secure Firewall Management CenterのWebインターフェースにおける起動時プロセス不備による認証バイパスにより、未認証リモート攻撃者がスクリプト実行およびroot権限取得可能。 | 重大(CWE-288) | Cisco Secure Firewall Management Center | 2026 | |
| Palo Alto Networks PAN-OS管理インターフェースの重要機能に認証が欠如しており、未認証攻撃者がPHPスクリプトを呼び出し、システムの完全性・機密性に影響を与える可能性。(CISA KEV) | 重大(CWE-306) | Palo Alto Networks PAN-OS | 2025 | |
| Fortinet FortiOS/FortiProxyのCSFプロキシリクエストによる認証バイパスにより、デバイスシリアル番号を知る未認証リモート攻撃者がスーパ管理者権限を取得可能。(CISA KEV、ランサムウェア関連) | 重大(CWE-288) | Fortinet FortiOS / FortiProxy | 2025 | |
| Juniper Networks Session Smart Routerの代替経路による認証バイパスにより、ネットワークベース攻撃者が認証を回避し、デバイスの管理権限を取得可能。 | 9.8 重大(CWE-288) | Juniper Networks Session Smart Router | 2025 | |
| Ivanti EPMM 12.5.0.0以前のAPIコンポーネントにおける認証バイパス。CVE-2025-4428と連鎖し、事前認証RCEを実現(CISA KEV)。 | 5.3 中(CWE-288) | Ivanti Endpoint Manager Mobile | 2025 | |
| Palo Alto Networks PAN-OS管理インターフェースの重要機能に認証が欠如しており、ネットワークアクセスを持つ未認証攻撃者が管理者権限を取得可能(Operation Lunar Peek)。(CISA KEV、ランサムウェア関連) | 重大(CWE-306) | Palo Alto Networks PAN-OS | 2024 | |
| Fortinet FortiManagerの重要機能に認証が欠如しており、未認証攻撃者が細工したリクエストで任意コード・コマンド実行可能。(CISA KEV、ランサムウェア関連) | 9.8 重大(CWE-306) | Fortinet FortiManager | 2024 | |
| Fortinet FortiOS/FortiProxyのNode.js WebSocketモジュールによる認証バイパスにより、リモート攻撃者が細工したリクエストでスーパ管理者権限を取得可能。(CISA KEV、ランサムウェア関連) | 9.8 重大(CWE-288) | Fortinet FortiOS / FortiProxy | 2024 | |
| SonicWall SonicOS SSLVPNの認証メカニズムにおける不適切な認証により、リモート攻撃者が認証をバイパス可能。(CISA KEV、ランサムウェア関連) | 9.8 重大(CWE-287) | SonicWall SonicOS SSLVPN | 2024 | |
| JetBrains TeamCity 2023.11.4以前の代替経路による認証バイパスにより、未認証攻撃者が管理操作を実行可能。(CISA KEV) | 9.8 重大(CWE-288) | JetBrains TeamCity | 2024 | |
| Cisco IOS XE Software Web UIの保護されていない代替チャネルにより、未認証リモート攻撃者が特権アカウントを作成し、影響デバイスを完全制御可能。公開時点でゼロデイとして積極的に悪用。(CISA KEV) | 10.0 重大(CWE-420) | Cisco IOS XE Software | 2023 | |
| F5 BIG-IP Configuration Utilityの認証欠如により、管理ポートへのネットワークアクセスを持つ攻撃者が任意システムコマンドを実行可能。(CISA KEV) | 9.8 重大(CWE-306) | F5 Networks BIG-IP | 2023 | |
| JetBrains TeamCity CI/CDサーバーの代替経路による認証バイパスで不正アクセスが可能。CISAの2023年最悪用脆弱性リスト掲載。(CISA KEV) | 重大(CWE-288) | JetBrains TeamCity | 2023 | |
| Microsoft SharePoint Serverの認証アルゴリズム実装不備により認証バイパスが可能。CISA KEVでランサムウェア関連と確認。(CISA KEV、ランサムウェア関連) | 重大(CWE-303) | Microsoft SharePoint Server | 2023 | |
| Fortinet FortiOS、FortiProxy、FortiSwitchManagerの代替経路による認証バイパスにより、未認証リモート攻撃者が細工したHTTP/HTTPSリクエストで管理操作を実行可能。(CISA KEV) | 9.8 重大(CWE-288) | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| F5 BIG-IP iControl RESTの認証欠如により、ネットワークアクセスを持つ未認証攻撃者が昇格権限で任意コマンドを実行可能。(CISA KEV) | 9.8 重大(CWE-306) | F5 Networks BIG-IP | 2022 | |
| VMware Workspace ONE Access、Identity Manager、vRealize Automationの認証不備により、ネットワーク経由の攻撃者が認証情報なしで管理者権限を取得可能。(CISA KEV) | 9.8 重大(CWE-287) | VMware Workspace ONE Access / Identity Manager | 2022 | |
| Oracle E-Business Suite Web Applications Desktop Integratorの重要機能に認証が欠如しており、未認証ネットワーク攻撃者がシステムを完全に侵害可能。(CISA KEV) | 9.8 重大(CWE-306) | Oracle E-Business Suite | 2022 | |
CVE-2021-20021 | SonicWall Email Security 10.0.9.xの認証欠如により、攻撃者が細工したHTTPリクエストで管理者アカウントを作成可能。(CISA KEV、ランサムウェア関連) | 9.8 重大(CWE-306) | SonicWall Email Security | 2021 |
| Zoho ManageEngine ADSelfService Plus 6113以前のREST API認証バイパスによりリモートコード実行が可能。CISA KEVで「認証バイパス脆弱性」と記載。(CISA KEV、ランサムウェア関連) | 9.8 重大 | Zoho ManageEngine ADSelfService Plus | 2021 | |
| Oracle Access Managerの容易に悪用可能な脆弱性により、HTTPネットワークアクセスを持つ未認証攻撃者がOracle Access Managerを完全に侵害可能。(CISA KEV) | 9.8 重大(CWE-306) | Oracle Access Manager | 2021 | |
| Ivanti Pulse Connect Secureのuse-after-freeにより、未認証リモート攻撃者がライセンスサービス経由でコード実行可能。米国防産業基盤ネットワークへの攻撃で悪用。(CISA KEV、ランサムウェア関連) | 10.0 重大(CWE-416/287) | Ivanti Pulse Connect Secure | 2021 | |
CVE-2021-37415 | Zoho ManageEngine ServiceDesk Plus 11302以前の重要機能に認証が欠如しており、REST APIエンドポイントが未認証でアクセス可能。(CISA KEV) | 9.8 重大(CWE-306) | Zoho ManageEngine ServiceDesk Plus | 2021 |
| SAP NetWeaver AS Java LM Configuration Wizardが認証チェックを実施せず、未認証攻撃者が管理者ユーザーを作成可能(「RECON」脆弱性)。(CISA KEV) | 10.0 重大(CWE-306) | SAP NetWeaver Application Server Java | 2020 | |
| SolarWinds Orion APIの認証バイパスにより、未認証リモート攻撃者がAPIコマンドを実行し、Orionインスタンスを完全に侵害可能。(CISA KEV) | 9.8 重大(CWE-306/288) | SolarWinds Orion Platform | 2020 | |
| Fortinet FortiOS SSL VPNの認証不備により、ユーザー名の大文字小文字を変更することで多要素認証(FortiToken)をバイパス可能。(CISA KEV) | 9.8 重大(CWE-287) | Fortinet FortiOS SSL VPN | 2020 | |
| SAP Solution Manager User Experience Monitoringの認証欠如により、Solution Managerに接続されたすべてのSMDAgentが完全に侵害される。(CISA KEV) | 9.8 重大(CWE-306) | SAP Solution Manager | 2020 | |
| Apache AirflowのExperimental APIのデフォルト設定により、すべてのAPIリクエストが認証なしで受け入れられ、重要なワークフロー機能への未認証リモートアクセスが可能。(CISA KEV) | 9.8 重大(CWE-306) | Apache Airflow | 2020 | |
CVE-2019-11510 | Ivanti Pulse Connect Secure VPNの事前認証任意ファイル読み取りにより、未認証リモート攻撃者がセッション認証情報ファイルを読み取り可能。(CISA KEV) | 10.0 重大(CWE-22) | Ivanti Pulse Connect Secure | 2019 |
CVE-2018-13379 | Fortinet FortiOS SSL VPN Webポータルのパストラバーサルにより、未認証攻撃者がVPN認証情報ストアを含むシステムファイルをダウンロード可能。(CISA KEV、ランサムウェア関連) | 9.8 重大(CWE-22) | Fortinet FortiOS SSL VPN | 2018 |
結論
認証バイパスは、外部者と信頼されたユーザーの間の身元確認を取り除きます。攻撃者がこの境界を越えると、アカウント乗っ取り、管理者権限取得、ラテラルムーブメント、データ窃取、ランサムウェア展開が可能となります。認証フローの強化、セッションの保護、すべてのアクセス経路の検証、ID・エンドポイント・ネットワークアクティビティを連携させるツールの活用により、そのリスクを低減できます。
よくある質問
認証バイパスは、攻撃者が有効な認証情報なしでシステムへアクセスできてしまう不具合です。実際には、アプリケーションがログインチェックを省略したり、改ざんされたクライアント側データを信頼したり、盗まれたセッションを受け入れたり、保護されていない別経路を公開してしまう場合があります。
この問題はCWE-287や、認証の欠如、別経路バイパス、セッション固定などの関連する弱点に分類されます。
はい。認証バイパスは主に A07:2025に該当します。強制ブラウジングやパラメータ改ざんなどの一部のバリエーションは、アクセス制御不備とも重複する場合があります。ユーザーが本来必要な認証チェックなしで保護された機能に到達できる場合、この問題はOWASPの認証失敗カテゴリに該当します。
はい。多くの重大なケースは、VPN、ウェブアプリ、管理インターフェースなど、インターネットに公開されたシステムでリモートから悪用可能です。
脆弱性がネットワーク経由でアクセス可能なログインフロー、API、または別のチャネルに存在する場合、攻撃者はそのサービスへの到達性だけで十分な場合があります。そのため、エッジデバイスやリモートアクセスプラットフォームは、主要な悪用キャンペーンで頻繁に標的となります。
最大のリスクは通常、インターネットに公開されているサービス(VPN、エッジデバイス、Webアプリケーション、クラウドサービス、API、ID基盤)にあります。管理用インターフェースや二次チャネルは、後から追加されることが多く、主要なログイン経路と同じ制御が継承されない場合があるため、特にリスクが高くなります。
管理されていないデバイスも、認証情報が侵害された場合に死角となります。
攻撃者は通常、不整合を探します。ディレクトリやAPIの列挙、別経路の探索、セッション動作のテスト、異なるインターフェースでの認証強制の比較などを行います。公開されたCVE情報も、特定の製品やパターンに注目する手助けとなります。
他の場合では、以前に盗まれた認証情報やトークンを使い、リカバリーやセッション管理の弱点が悪用できるかを確認します。
よくある警告サインには、再認証なしでのパスワードやメールアドレスの変更、異なるIPからのセッション再利用、同一アカウントでの同時セッション、新しいデバイスからの追加認証なしのログイン、再認証なしでのMFA要素の変更などがあります。
多くのアカウントに分散した低頻度の失敗も、通常のログインミスではなくパスワードスプレー攻撃の兆候となる場合があります。
認証バイパスは、外部者と信頼されたユーザーを分離する制御を無効化できるため、最も影響の大きい脆弱性クラスの一つです。この障壁が破られると、攻撃者はアカウント乗っ取り、管理者権限取得、横展開、ランサムウェア活動などに直結します。
本記事の事例からも、認証バイパスが重大なCVEや高インパクトな攻撃チェーンで頻繁に確認されていることが分かります。
はい。認証バイパスは大規模な攻撃チェーンの最初のリンクとなることが多いです。初期アクセス後、攻撃者は認証情報の収集、権限昇格、横展開、データ流出、ランサムウェアの展開などを行う可能性があります。
連鎖的な攻撃キャンペーンでは、バイパス自体が最終目的ではなく、攻撃者に信頼された出発点を与える近道となります。
必ずしもそうとは限りません。既知の認証欠如や公開エンドポイントはスキャナーで特定できることが多いですが、ロジックの不備、別経路、セッション悪用などは自動検出が難しい場合があります。
そのため、多層的な分析が重要です。脆弱性スキャン、挙動分析、セッション監視、構造化テストなど、それぞれ異なる側面の問題を発見できます。
製造、医療、政府、金融、重要インフラなどが、ここで引用した報告において高リスクとされています。共通点は、インターネット公開サービス、IDシステム、業務継続性への依存です。
攻撃者が1つのバイパスから情報窃取、業務妨害、ランサムウェア侵入へとつなげられる場合、ビジネスへの影響は特に深刻となります。
