Menu

マイクロソフトがセキュリティ強化を推進する中、Microsoft Authenticatorアプリは「危険な」通知を抑制する予定

  • Howero
  • abmhh
  • 0 comments
マイクロソフトがセキュリティ強化を推進する中、Microsoft Authenticatorアプリは「危険な」通知を抑制する予定
Samsung Galaxy Fold 5のMicrosoft Authenticator
Samsung Galaxy Fold 5 の Microsoft Authenticator (画像提供: Daniel Rubino)

知っておくべきこと

  • Microsoft の Authenticator は、疑わしいログインの通知を抑制するようになりました。
  • 攻撃者は繰り返しログインを試みるため、通知が多すぎるためにユーザーに「MFA 疲れ」を引き起こします。
  • 会社で簡単な MFA 承認を許可している場合、ユーザーが MFA を許可して通知を停止してしまう可能性があります。 
  • Microsoft のこの新しいポリシーにより、通常とは異なるソースからの通知が抑制されます。

Microsoft Authenticator は、MFA が必要な場合 (必要なはずです) に最適なアプリです。MFA がなぜ必要なのかわからない方のために、簡単に説明しましょう。アカウントまたは会社のネットワークを、正面玄関からしか入れない家に例えてみましょう。正面玄関には、鍵を差し込むハンドルがありますが、鍵がなく内側から開ける必要があるデッドボルトもあります。家に入る許可を与えるデッドボルトを開けられるのは、あなただけです。パスワードはドアハンドルのロックを解除する鍵で、MFA はそのデッドボルトです。誰でもあなたのパスワードを盗んだり、鍵をコピーしたりできますが、物理的な MFA デバイス (通常はスマートフォン) にアクセスできない限り、アカウントや会社のネットワークにアクセスすることはできません。 

残念ながら、Microsoft の Alex Weinart 氏がこの投稿で指摘しているように、特に大企業では MFA セキュリティが不足しています。

「私たちは多要素認証(MFA)の重要性を繰り返し強調してきましたが、すべてのMFAが同じではないことを強調しました。認証システムは電話認証よりもはるかに安全です(だから電話を切りましょう!)。

アレックス・ワイナート - マイクロソフト

MFA が重要なのはなぜですか?

「電話」によるMFA方法は、最悪のMFA方法の一つとして悪名高いです。ユーザーがキーパッドのボタンを1つ押すだけで、攻撃者が企業ネットワーク全体にアクセスできるようになるからです。そして、これはMFAボミング攻撃の格好の手口です。MFAボミングとは、攻撃者がユーザーの認証情報を不正に取得し、繰り返しログインを試みることです。ログインするたびに、MFAプロンプトが送信されます。もしこれがMicrosoft認証アプリの通知だったら、確かに煩わしいでしょうが、何時間も繰り返し電話がかかってくるほどではないでしょう。 

残念ながら、電話や SMS での MFA プロンプト、または Microsoft Authenticator 経由の通知で「はい」をクリックする必要がある場合でも、ログインするのは自分なので、MFA を承認することを選択するユーザーもいます。明確に言うと、個人用またはビジネス用の MFA を設定していて、ログイン時に自分が開始していない MFA プロンプトを受け取った場合は、誰かがあなたのパスワードを入手しているため、すぐにパスワードをリセットする必要があります。 

Microsoft は Authenticator アプリをどのように改善していますか?

認証アプリの通知の画像

Microsoft 認証により、危険なサインインに関する通知が抑制されます。  (画像提供: Microsoft)

攻撃者がユーザーを騙してMFAを承認させる可能性を排除するために企業が実行できる最も重要な対策の一つは、Microsoftの投稿で説明されているように、番号照合を実装することです。これは、ログイン時にコンピューターの画面に番号が表示され、ユーザーは認証アプリでその番号を入力する必要があります。推測や複数選択は不要で、ユーザーは攻撃者が画面に表示している番号を知る術がありません。 

しかし、これによって MFA 疲労の問題が解消されるわけではありません。つまり、誰かが脅威アクターから悪意のあるログイン試行を受けている場合、認証アプリからログインの通知が届き続けることになります。 

リクエストが未知の場所から送信された場合や、その他の異常な状況を示している場合など、潜在的なリスクを示す場合、認証システムからの通知を抑制するようになりました。このアプローチにより、無関係な認証プロンプトが排除され、ユーザーの不便が大幅に軽減されます。

アレックス・ワイナート - マイクロソフト

この投稿では、ログインリクエストがアプリ内に保持されることが引き続き保証されており、例えば旅行中にアプリが新しい場所にいるため不審なログイン試行と判断する場合でも、アプリにログインしてMFAプロンプトを手動で承認できます。これは便利な機能であり、Microsoftは最近AIなどの手法を用いてセキュリティを刷新することを決定したため、これはセキュリティをよりスマートにし、ユーザーにとって負担にならないようにするための取り組みの一環として推進されていると考えられます。 

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

全体的に見て、これは良い変更です。誰にも害はなく、企業がパスワードレス認証を導入していて、攻撃者がMFAプロンプトを送信するために必要なのはメールアドレスかユーザー名だけであれば、これは歓迎すべき改善となるでしょう。Microsoftは「  導入開始以来、600万件以上のパスワードレスおよびMFA通知を 阻止しました」と誇っています。この変更は9月末頃に実装されましたが、わずか1ヶ月強でかなりの量です。 

サイバーセキュリティに興味がある場合、または MFA セキュリティと Microsoft Entra (旧 Microsoft Azure Active Directory) でのその実装について詳しく知りたい場合は、Microsoft のこのリソースを確認してください。 

Microsoft Authenticator をご利用ですか? 会社では番号照合をご利用ですか?コメント欄でお知らせください。 

コルトンは、Windows Centralの読者とテクノロジーへの情熱を共有したいと願う、経験豊富なサイバーセキュリティ専門家です。最新のゼロデイ攻撃から企業を守る活動や、記事を通して自身の考えを発信する活動に携わっていない時は、家族と過ごしたり、PCやXboxでビデオゲームを楽しんだりしています。コルトンは購入ガイド、PC、デバイスの執筆に注力しており、新興テクノロジーやゲームのニュースについて話し合うことを常に歓迎しています。