「Exchange Online」にパスワードスプレー攻撃–MSは基本認証の無効化を推奨

今回は「「Exchange Online」にパスワードスプレー攻撃–MSは基本認証の無効化を推奨」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftの「Exchange」チームが「Exchange Online」ユーザーに対し、多くの顧客が基本認証(Basic認証)を使ったパスワードスプレー攻撃の標的になっていると警告している。

 Microsoftは、10月1日からExchange Onlineの全世界のテナントで基本認証の廃止を開始している。基本認証の廃止に伴い、2段階認証に対応していないアプリではパスワードが使えなくなる。

 多要素認証(MFA)を使えばパスワードスプレー攻撃とパスワード類推攻撃の大部分を防げるのだが、基本認証はMFAに対応していない。

 MicrosoftのExchangeチームのGreg Taylor氏は、「Exchange Onlineで基本認証を廃止するのは、皆さんのユーザーとデータを保護するためだ。毎日私が目にしているエビデンスは、パスワードスプレー攻撃の頻度が高まっていることを明確に示している」と述べている。

 パスワードスプレー攻撃では、攻撃者がよく使われる弱いパスワードのリストを使い、さまざまなユーザーアカウントに対しクラッキングを試みる。

 Microsoftは、2022年末までに基本認証を段階的に廃止していく。廃止するテナントはランダムに選択し、廃止の7日前に警告を送信する。

 Taylor氏は、顧客は直ちにExchange Onlineの認証ポリシーを設定するべきであり、「特定のプロトコルで基本認証を使っているはずだと分かっているアカウントだけが、そのプロトコルで基本認証を使えるようにしておく」べきだと述べている。

 Taylor氏は続けて、まずは直ちにSMTPとIMAPに取りかかるべきだとしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Argo AIがカリフォルニア州で自動運転車に一般客を乗せる許可を取得
IT関連
2021-08-02 00:50
ツイッターアプリ「Tweetbot 6」がリリース、サブスクを導入しビジュアル変更や新機能追加も
ソフトウェア
2021-01-28 13:04
自動走行車両の遠隔操作ソフトウェアOttopiaが住友商事のVCなどから9.7億円調達
モビリティ
2021-04-25 07:30
Rust Foundation、Rustコミュニティーの成長支える助成プログラム開始
IT関連
2022-04-02 06:55
デル、中小企業向けの新サービス「ゼロタッチPC」–ひとり情シスのPC運用負荷を軽減
IT関連
2022-04-23 09:17
社員のワクチン接種や副反応を自社のノーコードアプリで管理 アステリア
DX
2021-06-08 01:13
電気設備工事での電力計確認を効率化、SPIDERPLUSときんでんがOCR連携機能実験
ソフトウェア
2021-05-26 18:48
スターフォーム、「Zoho CRM」導入でアナログ対応の業務時間を従来の約5分の1に
IT関連
2021-01-27 22:18
Oculusで人気のVRオープンワールドRPG「A Township Tale」開発元のAltaがシード資金14.2億円調達
IT関連
2022-01-28 13:12
パスワードハッキング攻撃は増加の一途–マイクロソフト調査
IT関連
2022-11-17 18:01
都市などの空間シミュレーションをクラウドで–AWS、「SimSpace Weaver」を発表
IT関連
2022-12-02 07:29
「IBM Quantum」で強化されたプログラミングツール
IT関連
2021-03-18 09:39
経理職が会社から消える? 進むデータ化、インボイスが拍車
IT関連
2021-06-30 19:41
マイクロソフトの量子計算機プラットフォーム「Azure Quantum」がパブリックプレビューに
マイクロソフトが量子計算機プラットフォームを限定プレビュー
2021-02-03 21:17