COLUMN COLUMN
2022.9.29 /
ExchangeOnlineの基本認証無効化とその意味とは
マイクロソフトは2022年10月1日から、「Exchange Online」の基本認証(BASIC認証)を無効化します。
これは 2019年から広く伝えられていた措置で、何度も通知され猶予期間を設けるなど段階的に適用されてきましたが、いよいよ待ったなしとなりました。
そもそもこの措置の目的は何なのか、どのように変わるのか、変更となる先進認証とはどういうものなのかについて、昨今のマイクロソフトアプリケーションに対するセキュリティ攻撃の状況と絡めてまとめていきます。
基本認証無効化の目的
マイクロソフトが伝えている基本認証から先進認証への変更は、基本的にはレガシー技術を使った安全性の低いプロトコルの使用をやめてセキュリティを高めることが目的です。
特に同社が提供しているサービスの一つ、Microsort365(以下MS365)はクラウド上でメール、社内SNS、ファイル共有など様々なサービスが統合されています。
MS365は他のクラウドサービスと同様に、ユーザーのログイン画面までは誰でも辿りつくことができます。
毎日大量のデータが作成・保存・統合管理されているため、利用者にとっては大変便利なサービスですが、サイバー攻撃をおこなう者にとっても魅力的な「データ倉庫」かつ「攻撃対象」であるといえます。
攻撃者がおこなう攻撃に「パスワードスプレー攻撃」や「クリデンシャル・スタッフィング攻撃」があります。
「パスワードスプレー攻撃」は、複数のアカウントに対し同じパスワードで認証を試みる手法で、「クリデンシャル・スタッフィング攻撃」は盗んだ資格情報をもとに複数のサービスに総当り的におこなう攻撃で、多くのMS365テナントに対しても仕掛けられていますが、その主な標的となっているのが基本認証です。
マイクロソフト社による独自調査では、MS365に仕掛けられたパスワードスプレー攻撃の99%以上、クリデンシャル・スタッフィング攻撃の97%以上が基本認証の仕組みを利用していることがわかっていて、逆に基本認証を無効にするだけで、セキュリティへの侵害が67%も防ぐことができるとしています。
今回の措置はこのような状況の改善を目的としたものです。
基本認証と先進認証の違い
基本認証(BASIC認証、Basic Authentication)とは、インターネットの世界では古くからHTTPで定義されている認証方式で、WEBサイトの特定の領域(指定したファイルやフォルダー)へのアクセスを制限するものです。
サーバー側での設定が比較的容易で、認証用ダイアログにユーザー名とパスワードの入力でユーザーログイン機能を提供できるもので広く利用されていましたが、最近ではそのシンプルさ故にID/パスワードが平文で送信されるなど資格情報が簡単に盗めてしまうことが問題視されています。
それに対して新しく推奨している先進認証(Modern authentication)は、「OAuth 2.0 トークン認証」を利用したものです。
これは基本認証よりも安全なのはもちろんのこと、MFA(他要素認証、Multi-Factor Authentication)が利用できる点が一番の特徴です。MFAとは一般的なユーザーIDとパスワード以外に、スマートフォンなど別のデバイスを利用したりクライアント証明書ベースの認証を利用したりするものです。
Microsoftでは先進認証を、クライアント(ラップトップや携帯電話など)とサーバーの間の認証と承認の方法を組み合わせた包括的な用語で、使用しているアクセスポリシーに依存するいくつかのセキュリティ対策で、以下のものがあると定義しています。
・認証方法:多要素認証 (MFA);スマート カード認証。クライアント証明書ベースの認証
・承認方法:Microsoft が提供する Open Authorization (OAuth) の実装
・条件付きアクセスポリシー:モバイル アプリケーション管理 (MAM) と Azure Active Directory (Azure AD) の条件付きアクセス
先進認証を使用してユーザー ID を管理すると、管理者はさまざまなツールを使用して、リソースを保護することができます。
ただ、MFAを有効化していたとしても、Outlookのデスクトップアプリなどで古いメールクライアントを利用していたりすると、そのメールクライアントの認証が実は「基本認証」となっていて、MFAが機能していないといったこともあります。
このような状態では、例えMFAが有効になっていたとしても、攻撃者は古いプロトコルである基本認証を悪用し、MFAをバイパスすることが可能になってしまいます。
そういったセキュリティ的な抜け穴をなくすため、Microsoftは基本認証の完全無効化を決定したと思われます。
先進認証の有効化
先進認証を有効にするにはMicrosoft365管理センターでの設定が必要です。
- 「設定」―「組織設定」―「サービス」―「Modern authentication」を開く。
- 「Outlook2013 for Windows 以降の先進認証をオンにする(推奨)」をチェックし保存する。
またその他に、PowerShellでも確認が可能です。
いずれにしても設定を切り替えた場合、サービスを使用しているタイミングによっては作業途中に突然にログインを求められることもありえます。
業務に支障が出ないように、事前に社内に周知してから切り替え作業をおこなう必要があります。
またもう1点、基本認証を無効化する際に注意すべき点があります。
「Exchange Online」は他のサービスと連携して使われることもあるため、基本認証の無効化によって「Exchange Online」以外のサービスにも影響する可能性があります。
たとえば、OutlookカレンダーとGoogle カレンダーを連携させている場合などには、動作不能になるおそれがあります。意図せず他のサービスと連携している可能性があるため、10月1日前後の各サービスの状況には注意を払うべきでしょう。