Microsoft Exchange Onlineでベーシック認証を順次停止 10月1日から先進認証が必須に：基本認証から先進認証へ

Microsoftはこの3年間、Microsoft Exchange Onlineにおけるベーシック認証のサポート廃止をアナウンスし、よりモダンな認証方式への移行を促してきた。その期限が来月1日に迫る。いまもベーシック認証を使っている場合は早急に切り替えてほしい。

[後藤大地，有限会社オングス]

　サイバーセキュリティ犯罪者は「ユーザー名とパスワードの組み合わせによる基本認証（ベーシック認証）だけでログインできるシステム」をサイバー攻撃の発端として広く悪用している。既存のアカウントデータを使った不正ログインやブルートフォース攻撃などで侵入できてしまうため、労力に対して得られる成果が大きい。この問題は多くのベンダーを悩ませている。

　Microsoftの「Exchange Online」も同じ問題を抱えてきた。Microsoftは基本認証がサイバー攻撃に悪用されていることを認識しており、3年前からユーザーに対して、よりモダンな認証（先進認証）方式へ移行するよう求めてきた。しかし、「3年間かけてユーザーに対して移行を促してきたが、現在でも基本認証を利用しているユーザーがいる」とMicrosoftは指摘している。

「Basic Authentication Deprecation in Exchange Online ? September 2022 Update」（出典：Microsoftのブログ記事）

これから必須になる「先進認証」とは

　Microsoftはブログ記事「Basic Authentication Deprecation in Exchange Online ? September 2022 Update」において、2022年10月1日から対象をランダムに選択しながら基本認証を廃止すると伝えた。2022年10月1日以降、Exchange Onlineのサービスが利用できなくなった場合、基本認証廃止に該当する可能性がある。

　基本認証はユーザー名とパスワードのみの認証だが、先進認証は認証にアクセス権限の種類やトークンの有効期限などの情報を持つOAuthアクセストークンを利用する。Microsoftは現在利用するサービスの認証方式の確認方法や切り替え方法をドキュメントとして公開しているので参考にしてほしい。

　2022年10月1日以降、基本認証が使用できなくなるサービスは次の通りだ。

• MAPI
• RPC
• Offline Address Book（OAB）
• Exchange Web Services（EWS）
• POP
• IMAP
• Exchange ActiveSync（EAS）
• Remote PowerShell

　Microsoftによれば、2022年10月1日に基本認証を停止した後、サービスごとに基本認証を再度有効に設定できるとされている。しかしそれも2022年12月末までの時限措置だ。2022年内に基本認証から先進認証に切り替える必要がある。