マイクロソフトアカウントに不審なアクセスがあるか確認する方法とアカウントを保護する方法

記事内にはPR(プロモーション)広告が含まれています。

2024年6月29日(土)、ふとSNSを見てみると「Microsoftアカウントに不正アクセスが多発している」という内容を目にしました。

内容を簡潔に説明すると、自分以外の第3者がMicrosoftアカウントにアクセスを試みようとしているということです。

パスワードを総当りで組み合わせてログインしようとする試みで、「リバースブルートフォース攻撃」とも呼ばれています。

実際に、筆者も日本以外の国からMicrosoftアカウントにアクセスがされていたので、自衛方法などを解説します。

Microsoftアカウントのログイン履歴を確認する

Microsoftアカウントのアクセス履歴(ログイン履歴)から、いつ誰がどこからMicrosoftアカウントにアクセスしようとしたのか確認が可能です。

不安な人は、まずアクセス履歴(ログイン履歴)を確認してみてください。

筆者の場合、自身が日本からログインした履歴以外は、すべて第3者からのアクセスです。

幸いにもすべてログイン失敗しており、自動同期も試みようとされていますが失敗しています。

もしもパスワードを突破された場合でも、2段階認証を設定していたのでそこで不正アクセスを防いでいたでしょう。

原因はニコニコのアカウント流出によるもの?

ニコニコ公式Xアカウント、KADOKAWAのニュースリリース(※PDF)にて、情報漏洩に関するお知らせとお詫びが配信されました。

ニコニコアカウントと同じパスワードを他サービスでも使っている場合は、パスワードの変更をするようにとのこと。現時点(2024年6月)でニコニコのアカウントにアクセスできないため、ニコニコ以外のアカウントのパスワードはすみやかに変更したほうがよさそうです。

ニコニコのダウン前から第3者によるアクセスがある

ニコニコがダウンしたのは2024年6月8日(土)の深夜。実際のところ、ニコニコがダウンするよりも前に、Microsoftアカウントにアクセスしようとしている履歴を見ると、ニコニコが原因と一概にいえません。

Microsoftアカウントを保護する方法

Microsoftアカウントを保護するためには、パスワードを推測されにくい強力なものに変更する、2段階認証を有効にするというのがもっともてっとり早い方法です。

※本記事では、PCブラウザでアカウント操作をおこなっています。

パスワードを変更する

Microsoftアカウントのトップページを開き、「パスワードを変更する」をクリックします。

表示される手順に従って、新しいパスワードを設定してください。

万が一、今のパスワードがわからない場合、「パスワードを忘れた場合は、ここをクリックしてください」をクリック。回復コードや電話番号認証を利用してパスワードのリセットがおこなえます。

パスワードをリセットした際、新しいパスワードを設定することができます。

2段階認証を有効にする

次に2段階認証の設定をしましょう。

Microsoftアカウントのセキュリティページを開き、「2段階認証」をクリックします。

すでに2段階認証を設定している人がパスワードをリセットすると、2段階認証もオフになってしまうので、再度有効にしてください。

認証の手段として、「アプリ」「メールアドレス」「電話番号」が選べます。

電話番号を選ぼうとしたのですが、なぜか選べなかったので今回はアプリにしました。

次の画面でアプリのURLが表示されるので、スマホで「Microsoft Authenticator」アプリをダウンロードしてください。

「Microsoft Authenticator」アプリ側のセキュリティでスクリーンショットの取得ができなかったので、以降の手順だけ紹介します。

  1. スマホで「Microsoft Authenticator」を起動
  2. PCブラウザに表示されているQRコードを読み取り
  3. 設定完了

アプリの設定が完了しても「追加のセキュリティ」で「2段階認証」がオフになっているため、「有効にする」をクリックして有効にしてください。

他のメールアプリなどとの同期を設定する場合も、「2段階認証」の項目から「有効にする」をクリック。アプリごとの同期に必要なパスワードを設定してください。

「パスワードレス アカウント」を有効にする

「パスワードレス アカウント」を設定すると、パスワードが削除され、「Microsoft Authenticator」アプリかAndroid版「Outlook」アプリいずれかで認証してログインできるようになります。

前提として「Microsoft Authenticator」アプリかAndroid版「Outlook」アプリいずれかの導入が必要です。

パスワードが削除されるので、Microsoftアカウントを利用する一部のアプリにログインできなくなる可能性がある点に注意してください。

パスワードレスアカウントに関する説明を確認したら「次へ」をクリック。Microsoftアカウントを利用してログインしているアプリが他にある場合、「詳細情報」から内容を確認してください。

万が一、ログインできなくなるアプリを利用している場合、パスワードレスアカウントの設定はおこなわないでください。

「サインインまたは確認の新しい方法を追加」の画面が表示されるので、今回は「コードをメールで送信する」を選択しました。

「コードのSMS送信」で電話番号を入力してみましたが、なぜかエラーが表示されたので今回はメールアドレスにしています。

なお、メールアドレスは既に追加しているものは使用できなかったので、新しいメールアドレスを用意しました。

新しいメールアドレスを入力し、届いた認証コードを入力。「パスワードの削除要求を承認する」画面が表示されたら「次へ」をクリックして、スマホの「Microsoft Authenticator」アプリから承認をしてください。

「パスワードの削除完了」画面が表示されたら、「完了」をクリック。以降は、Microsoftアカウントでログインする際にパスワードの入力が省略され、「Microsoft Authenticator」アプリからの認証が必須となります。

「パスワードレス アカウント」設定のメリットと懸念材料

前述の通り、パスワードが削除されるので、Microsoftアカウントを利用する一部のアプリにログインできなくなる可能性があります。

一見すると、パスワード+アプリ認証の2段階認証で十分かのように思われますが、パスワードを突破されないという点がパスワードレスアカウント最大のメリットです。

万が一、パスワードを突破されても2段階認証でアカウントへのアクセスを阻止できますが、不正アクセス者が掴んでいる同一ユーザーの他アカウントで、突破したパスワードを利用されるという可能性もあります。

本記事を執筆するためにパスワードレスアカウントを設定してみましたが、不正アクセスを試みる人が筆者のアカウントにアクセスしようとした際、スマホに認証コードの通知などが届くと思うとめんどくさいかなと考えています。

その際は、推測されにくい強力なパスワードを生成してパスワード+アプリ認証に切り替えるつもりです。

パスワードレスアカウントの設定は一長一短があるため、設定をしようとする人は慎重に考えたほうがいいでしょう。

2024年7月1日追記:Microsoftアカウントをパスワードレスにした影響

Microsoftアカウントをパスワードレスアカウントに設定し、どのような影響が実際にあったのか、筆者の環境で起こった内容をまとめます。

PC版Outlookアプリにログインができなくなった

PC版Outlookからログアウトされ、再度ログインができなくなりました。

ブラウザでOutlookが開けるので、個人的には特に問題ないです。

不正にログインしようとされなくなった

パスワードレスアカウントにして、不正にログインしようとされる履歴が今のところ残っていません。

誰かがログインしようとした際に「Microsoft Authenticator」アプリへ通知が来ることを懸念していましたが、そういったことも起こっていないです。

もしかしたら履歴に残っていないだけで誰かしらログインしようとしているかもしれません。

タイトルとURLをコピーしました