Microsoft365多要素認証に関する重要なお知らせ
多要素認証の適用について(2022.12.1)
2022年11月頃から、Microsoft365アカウントを標的とした、不正なサインイン試行が急増しており、連日4,500件前後の攻撃を受け続けています。
そのままのペースで攻撃を受け続けると、いずれ誰かしらのパスワードが見破られ、重要な情報を窃取されたり、迷惑メールの送信元として利用されたりといった被害を受けます。
そのため、2022年12月から、全ての利用者を対象に、多要素認証を適用しました。
多要素認証の設定が済んでいない利用者は、サインイン時に多要素認証の設定が必須となります。
多要素認証設定手順(pdf 1MB)
多要素認証とは
従来型のIDとパスワードによる認証に加え、本人しか保有していないデバイス(機器)等を用いた2つ目の認証を行うことで、第三者による不正なサインインを防ぐものです。
多要素認証の必要性
上記の通り、IDとパスワードによる認証のみの場合、時間をかければいずれ第三者に不正にサインインされる可能性が高まります。
現在のコンピュータの性能では、英大文字小文字、数字、記号を組み合わせた8桁のパスワードは8時間程度で破れるという試算結果があります。
多数のコンピュータで一斉に試行すれば、さらにこの時間は短くなります。
また、One DriveやSharePointといったクラウドストレージ上の情報を狙って、看護や理学療法系の教育・研究機関は紛争・戦争中の国や地域などから攻撃の的とされています。
実際に他学では不正なサインインによる個人情報の漏洩が発生しており、このような状況を鑑みると、本人しか利用できない多要素認証の導入は必須と言えます。
認証情報の記憶について
多要素認証を含めた認証が成功すると、デバイス(機器)は、一定期間、認証情報を記憶します。
そのため、2回目以降のサインインで多要素認証を求められなくなった、というケースがありますが、異常ではありません。
次の場合に、再び多要素認証を求められます。
-
新しいデバイス(機器)でサインインを行う
- 認証情報を記憶しておく期間が終了した
- 第三者が不正にサインインしようとしており、IDとパスワードによる認証に成功した
多要素認証未実施アカウントのサインインブロック実施について(2022.12.21)
2023年1月16日時点で、多要素認証の設定が完了していないアカウントに対して、サインインブロックの設定を実施します。
背景
連日4,500件前後の不正なサインイン試行を受け続ける中、多要素認証の適用は欠かせないものとなっています。
しかし、長期間サインインせず、多要素認証の設定もされていないアカウントは、第三者によるパスワード破りが成功した場合に、本人の管理ではないデバイス(機器)による多要素認証設定を行われ、本人がサインインできなくなってしまいます。
この状況を防ぐために、そもそものIDとパスワードによる認証ができないようにする目的で、サインインブロックを実施します。
サインインブロックは、サインインができなくなるだけで、アカウントやメールボックスを削除されたり、メールが受信できなくなったりするものではありません。
サインインブロックされてしまったら
正しいIDとパスワードを入力したにもかかわらず、「サインインが禁止されている」旨のメッセージが出てサインインできない場合は、サインインブロックされている状態です。サインインブロックの解除については、下記、問い合わせ先まで問い合わせください。
覚えの無い多要素認証承認要求に関するご注意(2022.12.22)
多要素認証は、本人しか保有していないデバイス(機器)による追加の認証方法で、サインインをしようとしたときに、サインイン承認やパスコード入力に関する通知が、デバイス(機器)に送られるものです。
従って、サインインしようとしていない時に、承認通知やパスコードが送られてきた場合は、第三者がサインインしようとしており、しかもIDとパスワードによる認証が成功している状態となります。
以下の2点について、ご注意ください。
- 覚えの無いAuthenticatorアプリによる承認通知が来た場合は、決して承認しないでください。
- いずれの方式の多要素認証であっても、覚えの無い多要素認証に関する通知が来た場合は、第三者によってパスワードが破られている状態です。直ちにパスワードの変更をしてください。