Microsoft will disable Basic Auth in Exchange Online in October 2022
2021/09/26 BleepingComputer — Microsoft は、数百万人の Exchange Online ユーザーを保護するために、2022年10月1日から全てのテナントの全てのプロトコルで、Basic 認証をオフにすることを発表した。今回の発表は、COVID-19 パンデミック対応のために、Exchange Online からの Basic 認証の削除を、2021年後半に延期したことを受けてのものである。
Exchange Online チームは 今週初めに、「2022年10月1日より、使用状況にかかわらず、全てのテナントで Basic 認証の永久的な無効化を開始する (SMTP Auth は例外であり、その後も再有効化が可能) 」と発表した。
すでに6月から Microsoft は、Basic 認証を使用していないテナントに対して、その無効化を開始しており、誤って影響を受けたプロトコルを、再度有効にする方法についても説明している。Microsoft が Basic 認証を完全に廃止する前に、ユーザー側の Exchange Online で無効にするには、Exchange Online のサポートサイトに記載されている手順で、それぞれのユーザーに認証ポリシーを作成し、割り当てる必要がある。
2年前に Microsoft は、Modern 認証が Exchange Online の全テナントに適用されることを明らかにしている。その際に同社は、「Basic 認証を無効にすること、そして、MFA による Modern 認証を必要とすることは、テナント内のデータのセキュリティを向上させるためにできる、最善のことの1つであり、良いことである。ただし、明確にしておきたいことは、この変更は Exchange Online にのみ影響し、Exchange Server のオンプレミス製品には何の変更もないことだ」と述べていた。
なぜ Basic 認証が無効になるのか?
Microsoft は、このタイミングで発表した理由を明らかにしていないが、Guardicore のレポートによると、Basic 認証を誤って設定したメール・クライアントにより、何十万もの Windows ドメイン認証情報が、平文で流出したことが原因だとされる。
このレポートを執筆した、Guardicore の AVP of Security Research である Amit Serper は、Exchange クライアントに Basic 認証で接続させる The ol’ switcheroo と呼ばれる攻撃手法も公開している。Basic 認証 (Proxy 認証とも呼ばれる) は、HTTP ベースの認証方式であり、アプリからサーバー/エンドポイント/オンライン・サービスに、接続要求が行われるたびに認証情報が送信され、多くの場合においてユーザー名とパスワードのペアは、デバイスにローカルに保存される。
Basic 認証は、認証プロセスを劇的に簡素化する一方で、TLS (Transport Layer Security) 暗号プロトコルによる接続の保護が行われない場合は、攻撃者による認証情報の窃取が容易になってしまう。さらに悪いことに、Basic 認証で多要素認証 (MFA) を有効にすることは容易ではないため、基本的には使用されないことが多い。
Modern 認証 (Active Directory Authentication Library と OAuth 2.0 トークンベースの認証) では、有効期限が限られた OAuth アクセストークンを使用することが可能であり、発行されたリソース以外での認証には再利用できないようになっている。
Modern 認証 をオンにすると、MFA の有効化と実施がより簡単になり、その結果として、Exchange Online のデータ・セキュリティが向上する。Exchange Online/on-Premises のメールボックスに、MFA を追加するデモビデオは、Microsoft Ignite の YouTube アカウントで参照できる。
とても良い方向へと向かっていますね。大歓迎すべき転換だと思います。以前に、「CISA スバラシイ:一要素認証をバッド・プラクティスと認定する」と、「加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因」という記事をポストしましたが、米国では大きな流れが起こっているようです。羨ましいですね。
IoT OT Security News 