マイクロソフトは9月から、Entra IDにおいてSMSおよび音声による認証をパスキーに置き換えます。これは、AIを駆使した攻撃が広がる中、従来型の認証方式ではリスクが高すぎて標準として維持できないことを示すものです。
パスキー自体は以前から存在していましたが、さまざまな理由から企業全体への普及はこれまで緩やかなペースにとどまっていました。しかし間もなく、多くのマイクロソフト顧客にとってそれは選択の余地のないものになります。
マイクロソフトは9月1日より、クラウドベースのID・アクセス管理(IAM)サービスであるEntra IDにおいて、パスキーをデフォルトの認証方式として展開します。そして移行期間を経て、マイクロソフトが提供するSMSおよび音声認証は2027年2月1日をもって正式に終了します。
この動きによってマイクロソフトは、攻撃者がAIを駆使して手口を高度化させる中、より安全な認証標準への移行が急務であることを浮き彫りにしているようです。
SOCRadarのCISOであるEnsar Seker氏は、これが「重要な節目」であると指摘します。パスワードレス認証が任意のセキュリティ強化策から標準として期待されるものへと変わるからです。「攻撃者がフィッシングキャンペーンの自動化や説得力のある偽ログインページの生成、大規模な認証情報の窃取にAIをますます活用する中、この転換は重要な意味を持ちます」と同氏は述べています。
マイクロソフトによる6カ月間のパスキー展開計画
パスキーは、パスワードの代わりに指紋認証、顔認証、あるいはロック画面の仕組みを通じてユーザーを認証する方式です。YubiKeyのような物理的なUSBキーに保存することも、コンピューター、スマートフォン、クラウドアカウント上のデジタル認証情報として保存することもできます。
マイクロソフトによれば、この方式はSMSや音声のようなフィッシングの標的になりやすい認証手段への依存を減らし、認証情報の窃取に対する防御を強化するとしています。
マイクロソフトでアイデンティティおよびネットワークアクセスエンジニアリングを担当するコーポレートバイスプレジデントのNadim Abdo氏は、ブログ投稿の中で、パスキーは「ユーザーにとってはより使いやすく、サイバー攻撃者にとってはより厄介なものになる」と記しています。
マイクロソフトが発表したパスキー展開のスケジュールは、比較的積極的な内容となっています。
- 2026年9月1日: SMSまたは音声認証を有効にしているすべてのユーザーが、多要素認証(MFA)によるサインイン時にパスキー登録を「自動的に有効化され、促される」ようになります。
- 2026年9月18日: 規制上、技術上、あるいは運用上の課題により引き続きSMSまたは音声認証が必要となるシナリオについて、料金体系、商用条件、および対応する通信事業者のリストが公開されます。
- 2026年10月30日: 引き続きSMSおよび音声認証を利用する企業は、Microsoft Security Storeを通じて対応する通信事業者を選択・設定する必要があります。それ以降、通信関連の費用は各企業の負担となります。
- 2027年2月1日: マイクロソフトが提供するSMSおよび音声認証向けの通信配信は、Microsoft Entraのネイティブ機能としての提供を終了します。
2月1日以降、MFAにSMSまたは音声認証を必要とする企業は、サインイン前にパスキーを登録する必要があります。オプトアウト(適用除外)の選択肢は用意されません。
なお、これらの日程はパブリッククラウドでホストされるEntra IDに適用されるものである点に注意が必要です。他のクラウド環境向けのサポートについては別のスケジュールで進められる予定であり、追加のガイダンスや日程は今後案内されます。
Abdo氏によれば、SMSと音声認証はこれまで、他に手段のなかった数十億人のユーザーにMFAをもたらすという役割を十分に果たしてきましたが、脅威を取り巻く環境は「速度、規模、巧妙さ」の面で変化しており、パスキーへの移行が必要になったといいます。
パスキーのメリット
SOCRadarのSeker氏は、パスキーがパスワードとは異なり、攻撃者に窃取され得る共有秘密情報の伝送を伴わないため、攻撃対象領域を根本的に変えるものだと指摘します。認証にはユーザーのデバイスの所持に加えて、生体認証やPINによる検証が必要になります。
「非常に巧妙なAI生成のフィッシングページであっても、パスワードやワンタイムコードの場合のように、ユーザーを騙してパスキーを渡させることは単純にはできません」と同氏は述べています。
では、なぜこれまで企業への普及が広がってこなかったのでしょうか。Seker氏は、アイデンティティのエコシステムが「断片化」しており、多くの企業がいまだにパスワードにしか対応していないレガシーアプリケーションに依存していると指摘します。また、クロスプラットフォームの互換性、ライフサイクル管理、リカバリープロセス、共有アカウント、従業員のオンボーディング・オフボーディングといった課題にも苦慮しています。
さらに、「つい最近まで、多くの組織はパスキーを企業のアイデンティティ戦略ではなく、コンシューマー向けの技術と見なしていました」と同氏は述べています。
Seker氏によれば、Entraは多くの組織のアイデンティティ基盤の中核に位置しているため、マイクロソフトの今回の動きはこの状況を変えるものだといいます。デフォルト設定は通常、セキュリティ導入を後押しする最も強力な要因であるため、パスワードレス認証が任意ではなく必須となれば、組織がそれを大規模に展開する可能性ははるかに高くなります。
最大のメリットは、認証情報を狙った攻撃の「劇的な減少」だとSeker氏は述べています。同氏は、成功した侵害の大半がいまだに、フィッシング、インフォスティーラー型マルウェア、パスワードの使い回し、あるいは中間者攻撃(AiTM)を通じて窃取された認証情報を起点としていると指摘します。パスキーはこうした攻撃経路の多くを「排除、あるいは大幅に低減」する一方、パスワード疲れやパスワードリセットに伴うヘルプデスクのコストも軽減します。
さらにSeker氏は、ますます巧妙化するフィッシングの試みをユーザーが見抜けるよう継続的に訓練するのではなく、パスキーは認証情報そのものを方程式から取り除いてしまう点を指摘します。「これは、ユーザーの意識向上トレーニングだけに頼るよりも持続可能な、長期的なセキュリティ戦略だと言えます」。
とはいえ、パスキーは万能薬ではありません。エンドポイントの侵害、セッショントークンの窃取、内部関係者による悪意ある行為、あるいはすでに信頼されたデバイスを制御下に置いている攻撃者は防げないためです。Seker氏は、企業はパスキーに加えて、エンドポイント保護、継続的な監視、条件付きアクセスポリシー、ID脅威検知を組み合わせるべきだと助言しています。
企業が備えるべきこと
パスキーへの移行に備えるため、マイクロソフトは企業に対し、自社の認証ポリシーを見直し、いまだにSMSまたは音声認証を利用しているグループを特定するよう勧めています。その上で、ユーザーのデバイスやワークフローに最適な認証方式を選定し、すべての従業員にパスキーおよびセキュリティキーを確実に配布する必要があります。
Entra IDは、iCloud KeychainやGoogle Password Managerといったプラットフォームの認証情報マネージャーに保存される同期型パスキーと、Microsoft Authenticatorのパスキー、Windows上のEntraパスキー、FIDO2セキュリティキーなどのデバイス固有型パスキーの両方に対応しています。
Seker氏は企業に対し、自社のアイデンティティ基盤全体でFIDO2とパスキーへの対応状況を評価し、明確な登録・リカバリー手順を策定するよう助言しています。また、何が変わるのか、パスキーがどのように機能するのか、どうすれば登録を完了できるのかについて、ユーザーへの教育も行うべきだとしています。さらにSeker氏は、安全なデバイス管理の実践を確立し、移行期間を通じて最小権限、条件付きアクセス、リスクベース認証のポリシーの徹底を継続することが重要だと述べています。
最終的に、この動きは極めて重要だと同氏は指摘します。「今後数年間で、引き続きパスワードに主に依存し続ける組織は、AIが認証情報を狙った攻撃のコストを下げ、有効性を高め続ける中で、より高い運用上のリスクに直面することになるでしょう」と同氏は述べています。
この記事はもともとComputerworldに掲載されたものです。