Microsoft は 1 月に Exchange Online の基本認証を無効にします

Microsoft は本日、Exchange Online のセキュリティを向上させるために、2023 年 1 月初旬から基本認証を永久にオフにすることを警告しました。

「1月初旬から、対象となるプロトコルの基本認証の使用を永久に無効にする構成変更を行う約7日前に、影響を受けるテナントにメッセージセンターの投稿を送信します」とExchangeチームは火曜日に述べました.

「基本認証が完全に無効になった直後に、影響を受けるプロトコルのいずれかに基本認証を使用して接続しているクライアントまたはアプリは、不正なユーザー名/パスワード/HTTP 401 エラーを受け取ります。」

この発表は、レドモンドが過去 3 年間に発行した複数のリマインダーと警告の後に行われます。最初は2019 年 9 月に発行され、さらに 2 回は2021 年 9 月と2022 年 5 月に発行されました。これは、多くの顧客が最新の認証への切り替えを遅らせたためです。

CISA はまた、6 月に Microsoft の Exchange クラウド メール プラットフォームを使用している政府機関と民間組織に対し、多要素認証 (MFA) をサポートしない従来の認証方法から最新の認証方法への移行を加速するよう促しました。

2022 年 9 月に、10 月から世界中のランダムなテナントで基本認証が無効になり、年末までにプロトコルを 1 回有効にするオプションがあるという新しい警告が表示されました。

Exchange ActiveSync (EAS)、POP、IMAP、リモート PowerShell (RPS)、Exchange Web サービス (EWS)、オフライン アドレス帳 (OAB)、自動検出、および Outlook (Windows およびマック）。

クライアントの電子メール送信に使用される SMTP AUTH プロトコルも、使用されていないすべてのテナントで無効になります。

これらのプロトコルは、2023 年 1 月の第 1 週に基本認証の使用が永久に無効になり、再び有効にする方法はありません。

マイクロソフトは、基本認証を使用していない何百万ものテナントで基本認証を既に無効にし、まだ使用しているテナント内の未使用のプロトコルをオフにして、この安全でないログイン スキームを悪用する攻撃から保護していると述べています。

Microsoft 365 のゼネラル マネージャーである Seth Patton 氏は、9 月に次のように述べています。

「同じ調査では、Credential Stuffing 攻撃の 97% 以上が従来の認証も使用していることがわかりました。基本認証を無効にしている顧客は、それをまだ使用している顧客よりも侵害を 67% 少なく経験しています。」

基本認証が廃止された後、2023 年 1 月以降、Exchange Online にサインインできないなど、さまざまな問題が発生する可能性があります。

Exchange チームは、基本認証の使用を停止して、Exchange Online の電子メール アプリケーションがサインインしなくなったり、パスワードを要求し続けたりするのを防ぐ方法についての詳細情報も共有しています。

「基本認証に関連する増大するリスクからテナントとデータを保護するために、この変更を行っています」と Exchange チームは付け加えました。

「サポートに電話しても、基本認証を再度有効にすることはできないため、役に立ちません。」