多要素認証で使用する Microsoft Authenticator の承認方法に、新しく「数値の一致」が追加されました。この機能ではサインイン画面に表示される番号の入力をユーザーに要求します。これにより多要素認証要求の偶発的な承認を防ぐことができ、 近頃増加傾向にある多要素認証疲労攻撃への対策が可能になります。

今回は 多要素認証疲労攻撃 の攻撃手法に触れながら、「数値の一致」機能の設定方法についてご紹介いたします。

目次

多要素認証疲労攻撃 とは

プッシュ通知などの「多要素認証(MFA)」を悪用する攻撃です。
不正入手したIDとパスワードを使い何度もログインし、正規ユーザーに認証要求を送り続け「わざとプッシュ通知を乱発する」ことで、うっかり「承認」することを期待する攻撃手法です。

「数値の一致」機能の前提条件

設定には以下の前提条件がございます。

  • 組織にて二段階認証が有効になっていること
  • 認証方法ポリシー [Microsoft Authenticator プッシュ通知] がユーザまたはグループに対して有効になっていること

設定手順

1, Azure Active Directory 管理センター
https://aad.portal.azure.com/)にアクセスします

2, 検証用のセキュリティグループを作成します。

3, 以下画面に遷移します。
左メニュー [Azure Active Directory] を選択し、[管理]タブにある [セキュリティ] [認証方法] をクリックします。

4, [ポリシー]設定画面の中央にある[Microsoft Authenticator] をクリックします。

5,数値の一致を有効にする
[有効化およびターゲット] タブで、① [有効にする] を有効化し、
[含める]にて ② [グループの選択] を選択します。
③ [グループの追加] にて検証用のグループを選択します。
それらのユーザー/グループの [認証モード] を ④ [すべて] に設定します。

6, [構成] タブで、[プッシュ通知に数値の一致が必要] の [状態] を [有効] に変更し、[すべてのユーザ] を選択し [保存] をクリックします。

7,手順2のグループに含まれるユーザにてサインインを行うと承認画面にて以下のように番号が表示されます。

スマートフォンなどへ通知が届き、 Authenticator の画面にて番号の入力が求められます。

参考情報

多要素認証 (MFA) 通知で数値の一致を使用する – Azure Active Directory – Microsoft Entra | Microsoft Learn

まとめ

二段階認証が有効になっていても、多要素認証疲労攻撃の増加など、セキュリティ攻撃の手口は後を絶たない状況です。 今回の[数値の一致] 機能の実装をはじめ、Microsoft 365 はこうした日々攻撃をキャッチアップし、時代に合ったセキュリティ対策を講じていくことが可能になっております。

また弊社 Livestyle では、Microsoft 365 に関連するセキュリティ製品に特化したサポートを提供しております。企業のセキュリティや設定方法にお悩みの方は是非一度お問い合わせください。