Microsoftは、パスワードレス・ソリューションの普及する未来を描いているが、現状パスキーの普及はまだ遠く、サービス自体も、ユーザーもパスワードに依存している状態だ。だがパスワードのみの認証方式は安全性の面でも不安が多く、Microsoftは多要素認証(MFA)の利用も推奨しており、iOSとAndroid向けのアプリとして「Authenticator」を強く推している。
だがMFAも完璧というわけではない。サイバーセキュリティの状況はダイナミックに進化しており、現在、Microsoftは、Authenticatorが不正なログインの試みをどのように抑制しているかを詳しく説明している。
5月、Authenticatorアプリは、ユーザーが多要素認証 (MFA) で保護されたアカウントにログインしようとすると、アプリがユーザーのデバイスにプッシュ通知を送信し、アクセスを許可または拒否するかを確認出来る機能を追加した。これは、ハッカーによるこの種の通知のスパミングを防ぐためのものである。
そして今回、Microsoftは新しいブログ投稿で、Authenticatorアプリのこの種の保護機能を拡張したと発表した。
この機能のデプロイに続き、リクエストの発信元が見知らぬ場所であったり、その他の異常が見られたりするなど、潜在的なリスクが表示された場合、Authenticator の通知が抑制されるようになりました。このアプローチは、無関係な認証プロンプトを排除することで、ユーザーの不便さを大幅に軽減します。
Alex Weinert氏によると、同社がAuthenticatorを介してログインを試みる異常なポップアップ通知を抑制するこの新たな施策によって、600万件以上の不要なログイン試行(ほとんどがハッカーによるもの)が防止されているとのことだ。
基本的に、通常であれば、アカウントやサービスにログインしようとすると、Authenticatorのポップアップ通知により、サインインの試行を承認するよう求められる。しかし、Microsoft がログイン試行において、見知らぬ場所からの発信など、何らかの異常なシグナルを検出した場合、Microsoft は意図的にログイン試行を抑制し、通知を受け取らないようにする。代わりに、手動でアプリを開き、ログインの試行を確認するよう求められる。注意すべき点は、ポップアップ通知が抑制されるだけで、ログイン試行が削除されるわけではないことだ。
Microsoftは、このアプローチを導入することで、エンドユーザーに送信される不要な通知が減り、ワークフローがスムーズになるだけでなく、セキュリティも向上したと強調している。このプロセスは、悪意のある行為者があなたの認証情報へのアクセスを獲得し、あなたが誤って試行を承認してアカウントへのアクセスを許可するまで、MFAプロンプトを継続的に送信するMFA疲労攻撃の可能性も低減する。また、この変更はバックエンドであまり騒がれることなく静かに実装されたものであるため、多くの顧客が気づかないうちにこの実装のメリットを享受している可能性が高いことも興味深い。
Source
コメントを残す