Microsoftは11月6日(米国時間)、「Emphasizing Security by Default with Advanced Microsoft Authenticator Features. - Microsoft Community Hub」において、認証リクエストが異常であると判断した場合にポップアップ通知を抑制するようにMicrosoft Authenticatorの機能を強化したと伝えた。この変更は2023年9月末までに展開を完了しており、不要な通知を減らすことに成功したという。
Microsoft Authenticatorは多要素認証(MFA: Multi-Factor Authentication)、パスワードレスサインイン、パスワードオートフィル機能を提供するアプリ。多くのオンラインアカウントで使用することが可能で、安全なサインインを実現する。
今回、Microsoft Authenticatorに導入された機能は、多要素認証疲労攻撃による無意味な通知を抑制するもの。多要素認証疲労攻撃とは、脅威アクターが不正に入手した認証情報でサインインを繰り返し、ユーザーに認証通知を送り続ける攻撃手法。ユーザーは覚えのないサインインの要求であるため、通常はサインインを拒否する。しかしながら、永遠と繰り返される認証通知の拒否操作に疲れ果て、操作を誤って認証してしまうことがあり、これを狙った攻撃手法とされる。
Microsoftは2023年5月8日以降、この攻撃からユーザーを保護するために「数の一致」を確認する機能を追加している(参考:「Microsoft Authenticator の多要素認証プッシュ通知で数の一致がでどのように機能するか | Microsoft Learn」)。この機能の導入により多要素認証疲労攻撃の有効性は大幅に低下したが、攻撃自体はなくなっておらず、繰り返される通知に煩わされる状態となっていた。今回の機能強化でこの煩わしさから開放されることになる。
Microsoftはこれまでに、この機能強化で600万件を超えるパスワードレス通知と多要素認証通知を阻止したという。これら阻止された通知はほとんどが脅威アクターによって開始された通知であり、ユーザーにとって価値のないものだったとしている。
通知を抑制する条件はリクエストが見慣れない場所から送信された場合や、他の異常を示している場合などリクエストに潜在的なリスクがある場合とされる。通知が抑制された場合はスマートフォンなどのデバイスに通知は表示されないが、アプリを起動するとサインインを許可するか確認が求められるという。
このように通知は抑制されるが、リクエスト自体は削除されない。これはユーザーが遠方に出かけている場合など、正規のサインインを異常として検知する可能性があり、このような場合にサインインを可能にするための処置とされる。今回の機能強化は直接セキュリテイを向上させるものではないが、快適な環境をユーザーに提供するという意味で高く評価できるとみられている。