Microsoft Exchange Online のベーシック認証が終了:10月1日から無効化が始まる

Microsoft will disable Exchange Online basic auth next month

2022/09/01 BleepingComputer — 本日、2022年10月1日から Microsoft は、Exchange Online のセキュリティ向上を目的として、世界中のテナントからベーシック認証を、順次無効にしていくことを顧客に通知した。今日の発表は、最初に発表された 2019年9月以降の3年間において、同社から繰り返して行われてきた、注意喚起と警告に続くものである。

Microsoft は、依然として多数の顧客が、クライアントやアプリをモダン認証に移行していないことを確認した上で、2021年9月と2022年5月にベーシック認証をオフにするよう再度要請していた。

そして今日、Exchange Team は、「約3年前に初めて発表して以来、何百万人ものユーザーがベーシック認証から移行し、何百万ものテナントがベーシック認証を無効にして、積極的な保護が行われるようになった。しかし、残念ながら使用量はゼロにはならず、私たちのアクティビティも終わっていない。それでも、これまで無効にしていなかったテナントに対して、いくつかのプロトコルでベーシック認証を無効にし始める」と発表した。

同チームは、「10月1日から、ランダムにテナントを選び出し、MAPI/RPC/OAB/Exchange Web Services/EWS/POP/IMAP/Exchange ActiveSync/PowerShell の、ベーシック認証アクセスを無効にする予定だ」と付け加えている。

Microsoft によると、この動きを知らせるメッセージは、ロールアウト開Oauth始の7日前に Windows Message Center に掲載されるとのことだ。Basic Auth が無効になると、各テナントは Service Health Dashboard を通じて通知される。

このアクティビティにより、認証スキームが無効になるテナントにおいては、2022年12月末までの間に、顧客はセルフサービス診断を介して、プロトコルごとに1回だけ再有効化することが可能である。しかし、2023年1月の第1週目には、ベーシック認証の使用を永久に無効になるため、再びベーシック認証を使用することは不可能となる。

これまでに Microsoft は、旧来の認証を使用していない何百万ものテナントにおいて、すでにベーシック認証を無効にしている。そして、この安全が確保できない認証スキームを悪用する攻撃から保護するために、まだベーシック認証を使用しているテナント内の、未使用のプロトコルをオフに切り替え始めたと述べている。

Disabling Basic Auth manually
Disabling basic auth manually via Microsoft 365 admin center (Microsoft)

Microsoft が Basic 認証を無効にする理由は?

ベーシック認証 (別名:レガシー認証/プロキシ認証) とは、さまざまなオンライン・サービスのサーバやエンドポイントへ向けて、アプリケーションから平文で認証情報を送信するために使用する、HTTP ベースの認証スキームである。

残念ながら、この方式は脅威アクターに対して、侵入経路を容易に与えてしまう。具体的に言うと、TLS を介した中間者攻撃による認証情報の窃取や、パスワード・スプレー攻撃による認証情報の推測などが可能となる。また、ソーシャル。エンジニアリングや情報窃取型マルウェアなどの、さまざまな手口でベーシック認証を使用するアプリから、平文の認証情報を盗むことが可能である。

Modern Authentication (複数の認証/認可の方法の総称) は、OAuth アクセス・トークンを使用するものであり、発行された対象以外のリソースでは、認証に再利用できないものとなる。

さらに悪いことに、Basic Auth では多要素認証 (MFA) の有効化が、きわめて複雑になるため、それらの新技術がまったく使用されないことも多々ある。Modern Auth をオンにすると、MFA の有効化が簡単になるため、Exchange Online のセキュリティを向上させることが可能となる。

Exchange Online が Modern Auth に切り替わる背景として、数多くの理由があるが、2021年9月の Guardicore のレポートでは、もう1つの理由が加えられている。

このレポートでは、ベーシック認証を使用するメール・クライアントの設定ミスにより、何十万もの Windows ドメインの認証情報が平文で、外部ドメインに流出したインシデントが紹介され、この取り組みの重要性をさらに強調している。

Microsoft は、「この取り組みは、コミュニケーションを開始してから3年を必要としたが、すべての顧客が変更について理解した上で、すべての必要な措置を取るべきと考えるなら、それすらも十分な時間とは言えない。IT は厳しい変化にさらされている。パンデミックにより、数多くの人々の優先順位が変化したが、誰もが同じことを望んでいる。それは、ユーザーとデータのセキュリティの向上である」と加えている。

2022年10月に強制的に廃止される、ベーシック認証に対する準備と、事前にベーシック認証を無効にする最善の方法については、Exchange Team が発表した今日のブログ記事で詳しく説明されている。

Exchange Team に対して、お疲れさまでしたと、言いたいですね。世界のエンタープライズ・システムを構成する要のひとつとして、さまざまなメール環境の規範でもある Exchange なので、今回のベーシック認証の無効化で混乱を引き起こすことはできません。そのため、3年もの準備期間を経て、新たべ認証システムへと、すべてのユーザー企業が切り替えていくことになります。この間の、丁寧な仕事ぶりが記事から伝わってきますね。

%d bloggers like this: