Entra IDの標準認証がパスキーに SMS認証が使えなくなるのはいつ?:セキュリティニュースアラート
MicrosoftはEntra IDの標準認証方式をパスキーに変更する。AIを利用した攻撃の高度化を受け、SMS認証と音声認証への依存を減らす狙いだ。両認証はいつまで使えるのか。
Microsoftは2026年7月13日(現地時間)、IDおよびアクセス管理サービス「Microsoft Entra ID」(Entra ID)の標準認証方式をパスキーに変更する計画を発表した。AIを利用した攻撃の高度化を受け、フィッシングや認証情報の窃取、ソーシャルエンジニアリングへの耐性を高める狙いがある。
SMS認証と音声認証は、共有された秘密情報や通信経路を利用する仕組みであり、攻撃者による傍受や詐取、改変の対象となり得る。一方、パスキーは公開鍵暗号方式を採用しており、設計段階からフィッシング耐性を備える他、利用者にとっても認証操作を簡潔にできる特徴がある。Microsoftは今回の変更で、SMS認証と音声認証への依存を減らし、パスキーへの移行を促す。
ただし、今回の発表は単なる推奨にとどまらない。Microsoftが自社提供のSMS認証と音声認証そのものを終了する期限が明示されており、両認証を利用する企業は移行計画の策定を迫られる。
SMS・音声認証はいつまで使えるのか
Microsoftは2027年2月1日に、自社が提供するSMS認証および音声認証用の通信基盤の提供を終了する。同日以降、Entra IDの標準機能としてSMS認証と音声認証は提供しない。継続利用が必要な組織は、パートナー製品を調達できるマーケットプレース「Microsoft Security Store」を通じて提携通信事業者を選択して直接契約し、関連する通信費を負担する。
新たな認証方式は2026年9月1日から順次導入する。対象組織への展開後、SMS認証または音声認証が有効な利用者はパスキーも自動的に有効化される。多要素認証を実施する際には、パスキー登録を求める画面が表示される。
Microsoftによると、AI時代には認証情報を狙う攻撃が急速に高度化している。同社の脅威分析部門Microsoft Threat Intelligenceは、AIを利用したフィッシング攻撃でリンクのクリック率が最大54%に達した事例を確認した。従来型の攻撃は約12%であり、AIによって攻撃の効果が高まっている。この数値は、Microsoftが2025年に公開した「Microsoft Digital Defense Report 2025」に基づく。SIMスワップや多要素認証を回避する手法も利用しやすくなり、繰り返し実施可能になっていると同社は指摘する。
認証情報が侵害された場合、AIを利用した攻撃では侵入後の情報探索、権限昇格、組織内での横展開を人手より短時間で自動実施できる。そのため、フィッシング耐性を備えた認証方式の採用が必要だとMicrosoftは説明した。同社はほとんどの組織に対し、追加費用なしで利用者をパスキーをはじめとするフィッシング耐性を備えた認証方式へ移行することを推奨した。
移行準備として、MicrosoftはSMS認証または音声認証を利用する利用者やグループの確認を求めた。そのうえで、利用端末や運用に適したパスキーを選択し、導入計画を策定するよう案内した。Entra IDは、「iCloudキーチェーン」や「Google パスワード マネージャー」に保存する同期型パスキーのほか、Microsoft Authenticator、Windows上のEntraパスキー、FIDO2セキュリティキーなど端末固定型パスキーにも対応する。
多要素認証時にパスキー登録を促す「登録キャンペーン」機能を利用すれば、多数の利用者への導入を支援できる。利用者には変更内容や登録方法を事前に知らせるよう求めた。
今回発表された移行日程は次の通りだ。
- 2026年9月1日
- パスキー登録の案内開始(SMS・音声認証の利用者を自動的にパスキー有効化)
- 2026年9月18日
- 対応通信事業者の一覧と価格、商用条件の公開
- 2026年10月30日
- Microsoft Security Storeでの通信事業者設定開始
- 2027年2月1日
- Microsoft提供のSMS認証と音声認証の終了
2027年2月1日以降、SMS認証または音声認証を利用する利用者はサインイン前にパスキー登録が必要となる。登録を促す仕組みは全テナントに適用され、これを停止する設定は用意しない。
今回公表した日程はパブリッククラウド版のEntra IDが対象だ。他のクラウド環境は別日程で対応し、詳細は後日発表される。
Microsoftは、SMS認証と音声認証は多要素認証の普及に寄与したものの、現在の脅威環境には十分対応できなくなったとの認識を示した。利用者の利便性と攻撃耐性の両立を図るため、移行時期や代替手段、復旧方法を明示し、パスキーへの移行を進めると説明した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
多要素認証も飛び越えるフィッシング iOS 27の"新たな防波堤"
利用者自身に操作をさせて多要素認証をすり抜けるフィッシングが猛威を振るっている。こうした中、Appleが2026年秋公開予定の「iOS 27」で、人の心理を突く攻撃に対抗する新たな仕組みを用意していることが分かった。
機械より人をだます方が早い 巧妙化する「二段階フィッシング」にご注意
手品師が心理誘導で“魔法”を見せるように、攻撃者もまた、人間の心理の隙を突く手法で巧妙な攻撃を仕掛けてきます。「二段階式フィッシング」や「ClickFix」など、システムでの検知が困難な人を狙う脅威について解説します。
AIが多要素認証を突破 Microsoftが警告する「デバイスコード・フィッシング」の手口
MicrosoftはAIと自動化を組み合わせたデバイスコード認証悪用攻撃の詳細を公開した。動的コード生成やAIで攻撃検知を回避するため、認証基盤の防御強化が急務とされる。
SMBC日興証券が「パスキー」で口座乗っ取り対策 約5カ月で実現したのはなぜ?
口座乗っ取り被害が深刻化する中、SMBC日興証券はオンライン取引にパスワードレス認証技術の「パスキー」を採用し、約5カ月で本番運用にこぎ着けた。その具体的な手段とは。