Microsoftは2026年9月1日から「Microsoft Entra ID」でパスキーの登録を順次促し、2027年2月1日に自社提供のSMS・音声認証サービスを終了する。企業の情シスが実施すべきことを整理する。
多要素認証(MFA)を導入していても、SMSや音声通話で確認コードを受け取る方式であれば、フィッシング攻撃を十分に防げるとは限らない。攻撃者が偽のログイン画面でパスワードと確認コードを同時に盗んだり、電話番号を乗っ取ったりする恐れがあるためだ。
Microsoftは2026年9月1日から、ID・アクセス管理サービス「Microsoft Entra ID」で、パスキーを標準の認証方式とする変更を順次開始する。さらに2027年2月1日には、Microsoftが提供するSMS認証と音声認証の通信サービスを終了する予定だ。
企業がSMSや音声認証を使い続ける場合、外部の通信事業者との契約や追加費用が必要になる可能性がある。情報システム(情シス)部門は、現在の認証方法を棚卸しし、対象ユーザーをパスキーなどのフィッシング耐性を持つ方式へ移行しなければならない。
2026年9月1日以降、Entra IDでSMSまたは音声認証が有効になっているユーザーは、パスキーも自動的に利用対象となる。
対象ユーザーが次にMFAを実行すると、パスキーの登録を促す画面が表示される。Entra IDの「登録キャンペーン」機能を利用すれば、対象ユーザーに対してパスキー登録を促す案内を、MFA実行時に表示させることができる。
ただし、ユーザーのパスキーが自動的に作成されるわけではない。ユーザー自身が、端末や認証アプリ、セキュリティキーなどにパスキーを登録する必要がある。
事前に社内へ周知しなければ、ユーザーは突然表示された登録画面を不審に感じたり、操作方法が分からずヘルプデスクへ問い合わせたりする恐れがある。情シスは、画面例を含む手順書やFAQを準備し、パスキー登録を促す画面が正規のものであることを説明しておく必要がある。
Microsoftは2027年2月1日、Entra IDの標準機能として提供しているSMS認証と音声認証の通信サービスを終了する。
これは、SMSや音声という認証方法そのものを完全に利用できなくするという意味ではない。法規制や技術上の理由から利用を継続する企業は、「Microsoft Security Store」を通じて対応する外部通信事業者を選び、契約、設定できるようになる。
ただし、通信事業者が請求する料金は企業側の負担となる。Microsoftは2026年9月18日に、対応事業者、価格、契約条件、導入手順を公表し、同年10月30日から管理者が事業者を選択、設定できるようにする予定だ。
SMSや音声認証を例外的に残す企業は、対象人数に応じた通信費だけでなく、事業者との契約管理や障害発生時の問い合わせ先、個人情報の取り扱いなども確認する必要がある。
SMSや音声認証では、ユーザーが受け取った確認コードを入力する。この確認コードは一時的なものだが、偽のログイン画面に入力すれば、攻撃者に盗まれる可能性がある。
電話番号を別のSIMカードへ移す「SIMスワップ」や、利用者をだまして確認コードを聞き出すソーシャルエンジニアリングにも弱い。
Microsoftによると、AIを使ったフィッシング攻撃では、従来型の攻撃に比べてリンクのクリック率が高まる場合がある。AIによって自然な文章や標的ごとに最適化したメッセージを大量に生成できるためだ。侵害したアカウントを起点に、権限昇格や他システムへの侵入を自動化する攻撃も想定される。
一方、パスキーは公開鍵暗号方式を利用する。秘密鍵はユーザーの端末やセキュリティキーから外へ出ず、認証先のWebサイトごとに資格情報がひも付くため、偽サイトへ認証情報を渡しにくい。
パスキーは、パスワードと確認コードを入力する従来の方式に比べ、認証時間や失敗率を減らせる可能性もある。Microsoft Entra IDは、クラウド上の資格情報管理機能に保存する「同期パスキー」と、特定の端末や物理キーに保存する「デバイスバインドパスキー」の両方に対応する。
移行作業の第一歩は、SMSや音声認証を利用できるユーザーと、実際に利用しているユーザーの洗い出しだ。
情シスはEntra IDの認証方法ポリシーを確認し、SMSや音声認証が有効になっているユーザー、グループ、管理者アカウントを特定する必要がある。旧来のMFA設定を利用しているテナントも変更対象となるため、認証方法ポリシーだけを確認して終わらせないことが重要だ。
特に注意したいのは、普段は別の認証方式を利用しているものの、障害時や端末紛失時の予備としてSMSを登録しているユーザーだ。「SMSを日常的に使っていない」ことと、「SMSを廃止しても業務に影響しない」ことは同じではない。
認証方法の棚卸しでは、次のような利用者を分けて確認する必要がある。
Entra IDで利用できるパスキーには、複数の選択肢がある。
同期パスキーは「iCloudキーチェーン」や「Google Password Manager」などに保存され、同じ利用者の複数端末で利用できる。ユーザーにとって導入しやすく、端末交換時にも移行しやすい。
一方、Microsoft Authenticatorに保存するパスキーや、パスワード不要の認証機能「Windows Hello」の領域に保存するEntraパスキー、パスワードレス認証規格「FIDO2」セキュリティキーは、特定の端末や物理デバイスにひも付く。端末の所在や認証器の種類を厳格に管理したい場合に適している。
全社員へ同じ方式を適用する必要はない。一般ユーザーには同期パスキー、管理者にはデバイスバインドパスキーやFIDO2セキュリティキーを指定するなど、リスクに応じてポリシーを分ける方法がある。
Entra IDのパスキープロファイルでは、対象グループごとに利用可能なパスキーの種類や認証器の制限、アテステーションの要否を設定できる。情シスは利便性だけでなく、端末管理方針やクラウドへの資格情報同期を許可するかどうかも含めて選定する必要がある。
認証方式をパスキーへ変更しても、端末の紛失、故障、機種変更は発生する。
ユーザーがパスキーを保存した端末を利用できなくなった場合、どのように本人確認し、新しい認証方法を登録させるのかを決めておかなければならない。復旧手段としてSMSを残せば、攻撃者は防御の弱い経路を狙う可能性がある。
管理者による一時アクセスパスの発行、予備のFIDO2セキュリティキー、複数端末へのパスキー登録などを組み合わせ、フィッシング可能な認証情報に依存しない復旧手順を整備する必要がある。
特権管理者については、1台の端末や1本のセキュリティキーだけに依存させず、利用場所を分けた予備の認証器を準備しておくことが望ましい。
第1段階は、SMSと音声認証の利用者、登録者、例外ユーザーを洗い出すことだ。2026年9月以降に自動でパスキー登録を促される対象を把握する。
第2段階は、パスキーの種類と適用ポリシーを決めることだ。一般ユーザー、管理者、共有端末利用者などに分け、同期型と端末固定型を使い分ける。
第3段階は、小規模な利用者グループで検証することだ。登録、通常のサインイン、端末交換、端末紛失、アカウント復旧までを試し、ヘルプデスクの対応手順を整える。
第4段階は、全社展開と例外運用の確定だ。SMSや音声認証を残す場合は、2026年9月18日以降に通信事業者の条件を確認し、同年10月30日以降に設定する。2027年2月1日までに切り替えを終えなければならない。
今回の変更は、単なる認証機能の終了ではない。情シスには、ユーザーの登録作業、端末要件、認証ポリシー、アカウント復旧、例外利用者、通信事業者との契約を含む認証基盤全体の見直しが求められる。
2027年2月1日以降、SMSや音声認証を利用するユーザーは、サインイン前にパスキーの登録を要求される。全テナントで登録要求が強制され、無効にする選択肢はない。なお、今回の日程はEntra IDのパブリッククラウドが対象であり、その他のクラウド環境については別途日程が示される予定だ。
利用者が多い企業ほど、認証方法の棚卸しや社内周知には時間がかかる。情シスは2027年の終了日を待たず、パスキーを標準とする認証設計への移行を始める必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...