iStock/iam-Citrus
月曜日の15時間以上にわたり、英国議会を含む世界中の組織の関係者が、マイクロソフトのクラウドコンピューティングサービスであるOffice 365でホスティングされているメールアカウントやその他のサービスにログインできなくなりました。そして、懸念すべきことに、パニックが広がりました。
パスワードを入力した後、SMS、アプリ、電話のいずれで認証したかに関わらず、何も起こりませんでした。コードを受け取ったものの画面に進んで入力できなかった人もいれば、入力できたもののその後何も起こらなかった人もいました。
そして、重要な情報にアクセスしようとする声が高まる中、電子メールやオンラインバンキングなどのシステムを保護するために設計された多要素認証(MFA)が、事態を悪化させた。
Office 365のビジネスユーザーは1億2000万人を超え、フォーチュン500企業の80%以上がMicrosoftのクラウドサービスを利用しているため、今回の障害の影響は広範囲に及んだ。ただし、この問題はすべてのユーザーに影響を与えたわけではなく、MFAが有効でログインしていないユーザーのみに影響が及んだ。
例えば英国では、議会職員はウェストミンスターのコンピューターにアクセスできましたが、リモートワーク中の職員の中にはメールアカウントにログインできない人もいました。また、自社オフィスでもMFAを有効にしている企業もあり、クラウドに保存されているメールや文書にアクセスできない状態になっています。
「人々は何かを使うように勧められています」と、Mimecastのサイバーレジリエンス専門家、ピート・バンハム氏は言う。「これは良い習慣ですし、多くの消費者向け製品もGoogle Authenticatorなどのアプリを使ってこれを行っています。しかし、月曜日の朝一番に多くの人が頭を悩ませました。」
あるグローバル製薬会社のITヘルプデスクは、ヨーロッパから南米に至るまで、電話が殺到していました。「ITの評判という観点からすると、まさに悪夢でした」と、匿名を条件に同社のIT運用責任者は語ります。「最初の24時間は回避策がありませんでした。」
マイクロソフトがこの問題の解決に要した時間は、異例の長引いた。同社は最終的にグリニッジ標準時17時頃に修正プログラムをリリースしたが、その間に企業は潜在的に危険なセキュリティ対策にさらされていた。「最大の問題は、ユーザーに選択肢が二つしかないことです。何もせずにじっと待つか、自分のデバイスを使うかです」と、この製薬会社のIT運用責任者は語る。「HotmailやGmailを使い始めると、データ漏洩の危険にさらされることになります。」
一部のIT部門は、影響を受けたユーザーのMFAをオフにすることで問題を回避できましたが、これもセキュリティリスクとなります。Twitterの報告によると、他の部門ではそれさえも実行できませんでした。彼らの管理者アカウントもMFAで保護されていたため、誰もログインしてMFAをオフにすることができませんでした。中には、サーバーの状態を確認し、復旧したかどうかを確認するためにログインすることさえできない人もいました。
マイクロソフトのMFAアクセスがダウンしたのは今回が初めてではありません。9月には、テキサス州のデータセンターで落雷により冷却システムが故障し、Office 365ユーザーのログインに同様の問題が発生しました。昨日のダウンは当初、新しいコードの問題とされていましたが、マイクロソフトは後に、ヨーロッパのサーバーが認証リクエストで過負荷になったことが原因であると述べました。
マイクロソフトは、修正プログラムを適用し、サーバーのオン/オフを繰り返した後、11月19日午後9時30分(GMT)にようやく問題が解決したと発表したが、翌朝も他のユーザーからアプリと通話認証システムの両方で問題が報告されていた。
続きを読む: えっ、何?まだ二要素認証を使っていないのはなぜですか?
これらの障害は、一般ユーザーがMFAの使用を敬遠するようになれば、長期的なセキュリティ問題を引き起こす可能性があります。MFAは、既に面倒だと感じられることもあります。IT部門は、このようなインシデントをきっかけにMFAを無効にするよう圧力をかけられる可能性があり、その結果、企業のセキュリティが脆弱になる可能性があります。「MFAをユーザーに売り込むのは難しい」とビリントン氏は言います。「今後、MFAへの抵抗はさらに強まると予想されますが、交渉の余地はありません。」
バンハム氏は、プライバシー問題への意識が高まり、大規模なデータ漏洩事件が次々と明るみに出るにつれて、人々の意識は変化していると考えている。企業にとって重要なのは、リスクと生産性のバランスを取ることだ。1日の仕事を失うだけでも金銭的な損失につながる可能性があるが、大規模なデータ漏洩ははるかに大きな損失をもたらす可能性がある。
MFAで保護されていない、いわゆるバックドアアカウントは、一部のユーザーの業務復帰に役立ちましたが、常に脆弱なセキュリティ上の弱点となります。「すべての卵を一つのバスケットに入れるのは危険な決断です」とバンハム氏は述べ、企業はこのような状況を避けるため、ソフトウェアサービスに複数の異なるベンダーを利用することを提案しています。「単一障害点(SPOF)の脆弱性を生み出してしまうのです。」
この記事はWIRED UKで最初に公開されました。
