Malwarebytesは9月5日(米国時間)、「Microsoft will disable Basic authentication for Exchange Online in less than a month」において、MicrosoftがExchange Onlineのベーシック認証を1カ月以内に無効化すると伝えた。この変更に関するアナウンスは2019年9月20日に発表されているが、一部の企業はまだ準備が整っていないと指摘されている。
長年にわたってサーバ、サービス、エンドポイントへの接続にベーシック認証が使われている。しかしながら、ベーシック認証では、認証情報は平文で送受信されるため、簡単に傍受されるてしまう危険性がある。また、ベーシック認証は多要素認証(MFA: Multi-Factor Authentication)の実施が複雑になり、場合によっては不可能とされている。
Microsoftは、ユーザーにモダン認証(OAuth 2.0のトークンベース認証)に切り替えるよう求めている。モダン認証はクライアントとサーバ間の認証・認可方法の組み合わせの総称で、多要素認証、スマートカード、証明書ベース認証(CBA: certificate-based authentication)、サードパーティ製SAML (Security Assertion Markup Language) IDプロバイダーなどの認証機能を実現することができる。
モダン認証への変更は、MAPI、RPC、オフラインアドレス帳(OAB: Offline Address Book)、Exchange Web Services (EWS)、POP、IMAP、Exchange ActiveSync (EAS)、Remote PowerShellに対して実施される予定となっている。10月1日からランダムにテナントが選択され、影響を受けるプロトコルのベーシック認証が無効化される。変更の7日前にユーザーにメッセージが送られ、変更当日に各テナントに通知が届くという。
もしこの変更に対応できない場合、特定のプロトコルをベーシック認証の無効化から除外するオプションが一時的に提供される。ただし、2023年1月までにはすべてのプロトコルのベーシック認証が無効化されるとのことだ。
この変更がどんなに不便であってもセキュリティ上の理由から実施されるとし、できるだけ早くモダン認証に切り替えるよう推奨されている。Microsoftのログイン情報を狙うフィッシングキャンペーンやログイン情報を盗むためのさまざまな脅威があるとし、ベーシック認証はもはや十分な安全性を備えてはいないと結論付けられている。
