「Exchange Online」のベーシック認証が終了 ～2022年10月1日より

公式ブログ「Microsoft 365 Blog」

　米Microsoftは2022年10月1日より、すべてのテナントで「Exchange Online」のベーシック認証を無効化する。2019年からアナウンスされていた措置で、時代遅れで安全性の低いプロトコルを排除し、セキュリティを高めるのが目的だ。

　ベーシック認証（基本認証、Basic Authentication）は古くからHTTPで定義されている認証方式の1つで、指定したファイルやフォルダーへのアクセスを制限する。サーバー側のセットアップが容易で、ユーザー名とパスワードだけで利用できるシンプルさがメリットだが、資格情報を比較的容易に盗めてしまう。

　同社の独自調査でも、パスワードスプレー攻撃（複数のアカウントに対し同じパスワードで認証を試みる手法）の99%以上がベーシック認証の存在を利用していることが明らかになっている。また、ベーシック認証を無効にするだけでも、セキュリティ侵害は67％も防げるという。

　ベーシック認証の廃止後は、より安全な「OAuth 2.0」トークン認証（Modern Authentication）の利用が推奨されている。「OAuth 2.0」はベーシック認証より安全であることはもちろん、多要素認証（MFA）などのセキュリティ機能が利用できるのも魅力。同社は、とくに専任のセキュリティ担当者がいない中小企業にとって有益であるとしている。

　なお、「Exchange Online」は他のサービスと連携して用いられていることもある。そのため、ベーシック認証の無効化が「Exchange Online」以外のサービスにも影響する可能性がある点にも注意したい。たとえば、Googleは「Google カレンダー」連携が動作不能になるおそれがあると指摘し、注意を呼び掛けている。