Microsoft Authenticatorの欠陥によりMFAアカウントが上書きされ、ユーザーがロックアウトされる問題

 (csoonline.com)
2 ポイント 投稿者 GN⁺ 2024-08-18 | 1件のコメント | WhatsAppで共有

Microsoft Authenticatorの問題点

  • Microsoft Authenticatorには、新しいアカウントをQRコードで追加する際に既存のアカウントを上書きしてしまう問題がある
  • このため、ユーザーはアカウントにアクセスできなくなり、大きな不便を被る
  • 問題の原因は、Microsoft Authenticatorがユーザー名だけを使ってアカウントを識別しているためである
  • Google Authenticatorなどの他のアプリは発行者名を追加することで、この問題を回避している

問題の深刻さ

  • Microsoft Authenticatorは同じユーザー名を持つアカウントを上書きしてしまい、これはメールアドレスをユーザー名として使うことが多いために発生しやすい
  • 上書きが発生すると、どのアカウントが上書きされたのか把握しにくい
  • ユーザーは後になってアカウントを使おうとしたときに、この問題に気づくことになる

解決方法

  • 最も簡単な解決策は、別の認証アプリを使うこと
  • QRコードのスキャンではなく、コードを手動で入力する方法もある
  • この問題はMicrosoft Authenticatorがリリースされた2016年から存在している

ユーザーの不満

  • 2020年からこの問題に対する苦情が出ていたが、Microsoftはこれを修正していない
  • 情報を手動で入力する方法は、企業環境では非効率である

Brett Randallの事例

  • オーストラリアのITコンサルタントであるBrett Randallは、最近この問題をLinkedInに投稿した
  • QRコードをスキャンした際に、Microsoft Authenticatorが他のアプリケーションのTOTPキーを上書きする問題を説明している
  • 他の認証アプリは発行者とラベルを組み合わせて一意のIDを生成するが、Microsoftはラベルだけを使用している

専門家の見解

  • 複数のセキュリティおよびITの専門家がこの問題を再現できた
  • Wallarmのプロダクト担当バイスプレジデントであるTim Erlinは、この問題によってユーザーがロックアウトされるとして、設計上の欠陥だと述べている
  • Netographyの最高製品責任者であるDavid Meltzerは、この問題を自ら経験し、バグだと見なしている

Microsoftの立場

  • Microsoftはこの問題を機能だと見なし、ユーザーまたは発行者の責任にしている
  • Microsoftは、アカウント設定を上書きするかどうか確認するメッセージをユーザーに表示していると主張している
  • しかし、そのメッセージはユーザーに上書きを進めさせる内容になっている

解決策の提案

  • Brett Randallは、すべてのアプリケーションのotpauthを監査するか、Microsoftが問題を修正すべきだと提案している
  • 14種類の異なる認証アプリをテストした結果、この問題が発生したのはMicrosoft Authenticatorだけだった

GN⁺のまとめ

  • Microsoft Authenticatorには、新しいアカウントを追加する際に既存のアカウントを上書きしてしまう問題がある
  • この問題はユーザーや企業に大きな不便をもたらす一方、他の認証アプリでは回避できている
  • Microsoftはこの問題を修正せず、ユーザーまたは発行者の責任にしている
  • この問題を避けるには、別の認証アプリを使うことが推奨される

関連記事

1件のコメント

 
GN⁺ 2024-08-18
Hacker Newsの意見

  • Microsoft Authenticatorを選ぶ理由は、Microsoftが強制的に使わせるからだということ

    • 他のOTPアプリを使えないようにしており、管理者がこれを無効化するための手段も提供していない
    • QRコードが標準TOTPではないため、他のクライアントでは拒否される
    • 実際のTOTP用QRコードは、"別のアプリを使用"リンクからのみ取得できる

  • セキュリティと使い勝手の問題は深刻

    • パスワード変更の周期、複雑なパスワード規則、文書化されていないパスワード要件など、ユーザーが被る不便が多い
    • セキュリティシステム自体の脆弱性により、データ漏えいが頻繁に発生している

  • Microsoftから受け取ったメールがフィッシングのように見えた

    • MFAを有効化しろというメールを受け取ったが、実際にはMicrosoftに関連する組織を管理していない
    • メールには名前や組織名がなく、UUIDだけが含まれていた

  • Microsoft Authenticatorがラベルベースで項目を保存することへの疑問

    • 内部キーを生成せず、Webサイトが発行者フィールドに情報を入れないと問題が発生する
    • Microsoft社内で実際にAuthenticatorを使っているのか疑問だ

  • SafariのバグによりGitHubアカウントへのアクセスを失った経験

    • Safariには警告なしでパスワードを上書きするバグがあった
    • 現在は修正されているが、依然としてサブドメインを区別できないバグがある

  • Googleアカウントへのアクセス問題

    • 国とコンピューターを変えた後、Googleアカウントにアクセスできなくなった
    • 復旧用メールアドレスを使っても問題を解決できなかった
    • 復旧用メールアドレスをパスワードのように覚えておかなければならない状況は不便だ

  • Microsoftのサービス選択に対する批判

    • Microsoftは責任をユーザーやクライアントに転嫁している
    • Windowsエコシステムは複雑で使いにくくなっている
    • MS Teamsに新機能は追加されるが、既存の問題は解決されない

  • 同じユーザー名を持つ複数のアカウントを使うことは可能

    • 設計上の欠陥があるのかもしれないが、同じユーザー名を別のサイトで使うことはできる

  • Hotmailアカウント作成時の仕組みは視覚障害者にやさしくない

  • Microsoft Authenticatorが位置情報を追跡する問題

    • 位置追跡のほうが、より大きな問題だと認識されている