Microsoftは、エンタープライズID管理サービス「Entra ID」において、2026年9月からパスキーが標準の認証方式になると発表しました。
現在SMSや音声通話による電話ベースの認証を利用しているEntra IDユーザーには、パスキーが自動的に有効化されます。なお、この電話ベース認証は2027年2月にすべてのテナントで廃止される予定です。
ただし、すでにパスキーやWindows Hello for Business、FIDO2セキュリティキー、スマートカードといったフィッシング耐性のある方式でサインインしているユーザーは、引き続きそれらの方式を利用できます。
「展開が各組織に到達すると、SMSまたは音声認証を有効にしているユーザーは自動的にパスキーが有効化されます。次回多要素認証を実行する際にパスキーの登録を求められることになります」とMicrosoftは説明しています。
「この移行が完了した後、2027年2月1日にMicrosoftはSMSおよび音声認証向けに提供してきた電話回線サービスを廃止し、SMSおよび音声認証をMicrosoft Entraのネイティブ機能として提供しなくなります」としています。
この日付を迎える前に、組織はすべてのユーザーがフィッシング耐性のある認証方式を使用するよう徹底することが推奨されています。それ以降はSMSや音声通話による多要素認証を完了してアカウントにサインインすることができなくなるためです。

グローバル閲覧者、認証ポリシー管理者、またはセキュリティ閲覧者のいずれかのロールを持つ管理者は、Entra SMS/Voice Policy ScannerというPowerShellスクリプトを実行することで、SMSまたは音声認証を利用しているユーザーを特定できます。
電話ベースの認証を引き続き使用する必要がある組織は、Microsoft Security Storeを通じてサードパーティの電話サービスプロバイダーを設定する必要があります。
Microsoftは、Entra IDにおけるフィッシング耐性のあるパスワードレス認証の導入・管理方法について、この専用ドキュメントページで手順を詳しく解説しています。
ユーザーには、ID関連の攻撃を防ぎアカウントのセキュリティを高めるため、電話ベースの認証方式から移行することが推奨されています。ShinyHuntersを含む脅迫グループなどの脅威アクターは、盗んだ認証情報を使ったSaaSデータ窃取攻撃の一環として、最近の一連の攻撃でMicrosoft Entraのシングルサインオン(SSO)アカウントを激しく標的にしており、こうした攻撃の波は盗んだ認証情報を利用したものだとされています。
「Microsoft Threat Intelligenceは、AIを活用したフィッシングキャンペーンのクリック率が最大54%に達する事例を確認しています。これは従来型キャンペーンの約12%と比較して非常に高い数値であり、盗まれたパスワードやフィッシング可能な第2要素が差し迫ったリスクとなっています」とMicrosoftは付け加えています。
「パスキーを標準の認証体験にすることで、組織はフィッシング可能な認証方式への依存を減らし、認証情報の窃取やフィッシングに対する防御を強化できます」としています。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが検知できているのは成功した攻撃の54%にとどまり、アラートが発報されるのはわずか14%です。残りは環境内を検知されずに移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、検知をすり抜ける脅威を防ぐかを解説しています。