ここ数日、いろいろなところで取り上げられつつある Exchange Online での基本認証の廃止。Microsoft コミュニティにもこんな記事が Up されていたので、取り上げてみました。
マイクロソフトコミュニティという、どちらかといえば一般向けのコミュニティにこんな記事がアップされるのは珍しいわけですが、文字通り「Exchange Online」でのことになるので、一般ユーザー向けというよりは、法人向けの内容になります。
もっとも法人向けの情報とはいえ、学校や会社のメールアカウントを自宅のPCに設定してご利用のケースもあるかと思いますので、一般ユーザーであっても全く関係ないわけでもないわけです。
ということで今回はざっくりとその概要についてご紹介いたします。
【「基本認証」とは?】
今回問題になっている「基本認証」。Webサイトによっては、「ベーシック認証」という記載も見られますが同じことになります。
さて、セキュリティ対策の重要性が謳われる中、相変わらず減らない "アカウントの乗っ取り" や "なりすまし" などの被害。その要因の一つにもなっているのが、旧来から使用されている古い仕様の認証システムでした。
普段、皆さんがよく使用されているように、アプリケーションやサービスの認証などの際、ユーザー名とパスワードを送信して認証するあの方式です。基本認証と呼ばれる旧来の方式は、その通信の中にユーザー名やパスワードといった情報が含まれてしまうため、通信が解読されてしまうと、そうした資格情報が簡単に盗みとられてしまうことになります。
「Microsoft 365 Appsに含まれる Office アプリを使用すると、ユーザーは要求ごとにユーザー名とパスワードを送信することで、基本認証を使用してリモート サーバー上のリソースに接続できます。 これらの資格情報は、多くの場合、サーバーに格納されるため、攻撃者はそれらの資格情報をキャプチャし、他のエンドポイントやサービスに対して再利用しやすくなります。」
とある通りで、従来よりその安全性について、問題視されていました。
つい先日ですが、2022年5月末付で Google でもセキュリティ向上のため、同様に Gmail での基本認証が廃止されて、OAuth2.0 (先進認証)に対応していないものでは利用できなくなるなど、バタバタしたことは記憶に新しいところです。
【どんな人が影響をうける?】
「更新: Exchange Online の基本認証 (基本認証) が非推奨となる」をご覧いただけるとわかりますが、今回廃止に至るまでには、2019年9月20日のこの記事がスタートになっています。
約3年前にアナウンスされてやっと今回これが、2022年10月1日以降に実施になるわけですが、その対象は、Exchage Online を利用している法人ユーザーになります。「現時点では法人向け M365 に限定され、コンシューマー サービスの Outlook.com ユーザーには影響しません」とある通りです。
ただし会社や学校などの組織から提供さているメールアカウントを、メールソフトに設定されているケース。そしてそれが Microsoft 365 をベースとするシステムに基づくものだったりした場合には、一般ユーザーであっても PCでご利用中のメールソフトによってはその影響を受けることになります。
-- 必要になるもの:
「先進認証」に対応したメールクライアントが必要になります。
- Micorsoft365のOutlook (for Mac含む),Outlook2016, Outlook2019
- Outlook for iOS / Android
- iOS 11.3.1以降の標準メールアプリ
- その他、OAuth2.0 対応のメールクライアント
-- 基本認証が廃止となるプロトコル:
「Basic Authentication Deprecation in Exchange Online – September 2022 Update」によれば、「Starting October 1st, we will start to randomly select tenants and disable basic authentication access for MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS), and Remote PowerShell.」とあるので、ランダムにテナントが選択されて、MAPI、RPC、オフラインアドレス帳(OAB)、Exchange Web Services(EWS)、POP、IMAP、Exchange ActiveSync(EAS)、およびリモートPowerShellの基本認証アクセスが無効化されることになります。
- POP
- IMAP
- EWS(Exchange Web Services)
- ExchangeActiveSync (EAS)
- Remote PowerShell (RPS)
以前にも試験的に行われたこともあったようで、その際にはやはり一時的にメールが利用できなくなったとの話もあったようです。つまりまだ基本認証を利用していたということになるわけですね。
【一時的に再有効化も】
今回の 2022年10月1日からの実施に当たって、一度だけ再有効化する方法も用意されています。セルフサービス診断を利用し、必要なプロトコルの基本認証をプロトコルごとに1回だけ再有効化することができるようになります。
ただしこれは、あくまでもどうしても間に合わないユーザーのための一時的な措置になり、その有効期限は 2022年12月末までとなります。2023年以降は自動的に基本認証は無効になります。
こちらについては、各組織のシステム管理者にご確認いただく必要があります。
主に法人の方が対象とは言え、会社や学校で発行されたメールアドレスをPCに設定してご利用の方の場合には場合によっては、影響を受けるケースもあるのでご注意ください。
<参照>