Entra IDの標準認証がパスキーに SMS認証が使えなくなるのはいつ?セキュリティニュースアラート

MicrosoftはEntra IDの標準認証方式をパスキーに変更する。AIを利用した攻撃の高度化を受け、SMS認証と音声認証への依存を減らす狙いだ。両認証はいつまで使えるのか。

» 2026年07月17日 07時00分 公開
[ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Microsoftは2026年7月13日(現地時間)、IDおよびアクセス管理サービス「Microsoft Entra ID」(Entra ID)の標準認証方式をパスキーに変更する計画を発表した。AIを利用した攻撃の高度化を受け、フィッシングや認証情報の窃取、ソーシャルエンジニアリングへの耐性を高める狙いがある。

 SMS認証と音声認証は、共有された秘密情報や通信経路を利用する仕組みであり、攻撃者による傍受や詐取、改変の対象となり得る。一方、パスキーは公開鍵暗号方式を採用しており、設計段階からフィッシング耐性を備える他、利用者にとっても認証操作を簡潔にできる特徴がある。Microsoftは今回の変更で、SMS認証と音声認証への依存を減らし、パスキーへの移行を促す。

 ただし、今回の発表は単なる推奨にとどまらない。Microsoftが自社提供のSMS認証と音声認証そのものを終了する期限が明示されており、両認証を利用する企業は移行計画の策定を迫られる。

SMS・音声認証はいつまで使えるのか

 Microsoftは2027年2月1日に、自社が提供するSMS認証および音声認証用の通信基盤の提供を終了する。同日以降、Entra IDの標準機能としてSMS認証と音声認証は提供しない。継続利用が必要な組織は、パートナー製品を調達できるマーケットプレース「Microsoft Security Store」を通じて提携通信事業者を選択して直接契約し、関連する通信費を負担する。

 新たな認証方式は2026年9月1日から順次導入する。対象組織への展開後、SMS認証または音声認証が有効な利用者はパスキーも自動的に有効化される。多要素認証を実施する際には、パスキー登録を求める画面が表示される。

 Microsoftによると、AI時代には認証情報を狙う攻撃が急速に高度化している。同社の脅威分析部門Microsoft Threat Intelligenceは、AIを利用したフィッシング攻撃でリンクのクリック率が最大54%に達した事例を確認した。従来型の攻撃は約12%であり、AIによって攻撃の効果が高まっている。この数値は、Microsoftが2025年に公開した「Microsoft Digital Defense Report 2025」に基づく。SIMスワップや多要素認証を回避する手法も利用しやすくなり、繰り返し実施可能になっていると同社は指摘する。

 認証情報が侵害された場合、AIを利用した攻撃では侵入後の情報探索、権限昇格、組織内での横展開を人手より短時間で自動実施できる。そのため、フィッシング耐性を備えた認証方式の採用が必要だとMicrosoftは説明した。同社はほとんどの組織に対し、追加費用なしで利用者をパスキーをはじめとするフィッシング耐性を備えた認証方式へ移行することを推奨した。

 移行準備として、MicrosoftはSMS認証または音声認証を利用する利用者やグループの確認を求めた。そのうえで、利用端末や運用に適したパスキーを選択し、導入計画を策定するよう案内した。Entra IDは、「iCloudキーチェーン」や「Google パスワード マネージャー」に保存する同期型パスキーのほか、Microsoft Authenticator、Windows上のEntraパスキー、FIDO2セキュリティキーなど端末固定型パスキーにも対応する。

 多要素認証時にパスキー登録を促す「登録キャンペーン」機能を利用すれば、多数の利用者への導入を支援できる。利用者には変更内容や登録方法を事前に知らせるよう求めた。

 今回発表された移行日程は次の通りだ。

  • 2026年9月1日
    • パスキー登録の案内開始(SMS・音声認証の利用者を自動的にパスキー有効化)
  • 2026年9月18日
    • 対応通信事業者の一覧と価格、商用条件の公開
  • 2026年10月30日
    • Microsoft Security Storeでの通信事業者設定開始
  • 2027年2月1日
    • Microsoft提供のSMS認証と音声認証の終了

 2027年2月1日以降、SMS認証または音声認証を利用する利用者はサインイン前にパスキー登録が必要となる。登録を促す仕組みは全テナントに適用され、これを停止する設定は用意しない。

 今回公表した日程はパブリッククラウド版のEntra IDが対象だ。他のクラウド環境は別日程で対応し、詳細は後日発表される。

 Microsoftは、SMS認証と音声認証は多要素認証の普及に寄与したものの、現在の脅威環境には十分対応できなくなったとの認識を示した。利用者の利便性と攻撃耐性の両立を図るため、移行時期や代替手段、復旧方法を明示し、パスキーへの移行を進めると説明した。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

注目のテーマ

あなたにおすすめの記事PR