Microsoftは、数百万人のExchange Onlineユーザーを保護するため、2022年10月1日からすべてのテナントのすべてのプロトコルでBasic認証を無効にすることを発表しました。
2022年10月1日より、使用状況にかかわらず、すべてのテナントでBasic認証の永久的な無効化を開始することを発表します(SMTP Authは例外で、その後も再有効化が可能です)
マイクロソフトはすでに6月に、Basic認証を使用していないテナントに対してBasic認証の無効化を開始しており、顧客が不注意で影響を受けたプロトコルを再び有効にする方法についても解説しています。
マイクロソフト社がBasic認証を完全に廃止する前に、Exchange OnlineでBasic認証を無効にするには、Exchange Onlineのサポートサイトに記載されている手順で、ユーザーに認証ポリシーを作成して割り当てる必要があります。
Basic認証を無効にし、MFAによる最新の認証を設定とすることは、テナント内のデータのセキュリティを向上させるためにできる最善のことの1つであり、非常に良いことである
なお、この変更はExchange Onlineにのみ影響し、Exchange Serverのオンプレミス製品には何の変更もありません。
なぜ基本認証が無効になるのか?
マイクロソフトは、今週このような発表を行うことにした正確な理由を明らかにしませんでしたが、その原因はBasic authを使用する誤った設定のメールクライアントによって、何十万ものWindowsドメイン認証情報が平文で流出したことが判明したためだと推測されています。
Guardicore社のセキュリティリサーチ担当AVPであるAmit Serper氏は、ExchangeクライアントにBasic認証でのネゴシエーションをさせる「The ol’ switcheroo」と呼ばれる攻撃手法も公開しています。
ベーシック認証(プロキシ認証とも呼ばれる)は、HTTPベースの認証方式で、アプリがサーバーやエンドポイント、オンラインサービスへの接続要求を行うたびに認証情報を送信し、ユーザー名とパスワードのペアがデバイスにローカルに保存されることが多い。
ベーシック認証は、認証プロセスを劇的に簡素化する一方で、トランスポート・レイヤー・セキュリティ(TLS)暗号プロトコルを使用して接続が保護されていない場合、攻撃者が認証情報を容易に盗むことができます。
さらにベーシック認証で多要素認証(MFA)を有効にすることは容易ではないため、基本的には使用されないことが多いです。
最新の認証方法(Active Directory Authentication Library(ADAL)とOAuth 2.0のトークンベースの認証)では、有効期限が限られたOAuthアクセストークンを使用することができ、発行されたリソース以外での認証には再利用できません。
modern auth をオンにすると、MFA の有効化と実施がより簡単になり、その結果、Exchange Online のデータセキュリティが向上します。
Exchange Online/オンプレミスのメールボックスへの MFA の追加に関するデモビデオは、Microsoft Ignite の YouTube アカウントでご覧いただけます。
Comments