【Microsoft Authenticator】MFA疲れ攻撃が疑われる時の承認拒否と管理者への報告ポイント

突然、Microsoft Authenticatorに通知が何度も届き、「承認」を求められる経験はありませんか。この現象は「MFA疲れ攻撃(プッシュ疲れ攻撃)」と呼ばれるサイバー攻撃の手口である可能性が高いです。攻撃者が大量の承認要求を送り、ユーザーが誤って承認してしまうのを狙います。もし身に覚えのないMFA要求が続いているなら、絶対に承認せず、適切な対応と管理者への報告が必要です。本記事では、MFA疲れ攻撃が疑われる際の承認拒否手順と、組織の管理者に伝えるべき情報を具体的に解説します。

MFA疲れ攻撃とは何か?なぜ発生するのか

MFA疲れ攻撃(MFA Fatigue Attack)は、攻撃者が標的のユーザーに対して短時間に大量の多要素認証(MFA)承認要求を送りつけ、ユーザーが煩わしさから誤って承認してしまうのを狙う手法です。Microsoft Authenticatorのプッシュ通知が典型的な標的になります。攻撃者は事前にユーザーのパスワードを入手(漏洩)していることが多く、その上でMFAの承認を何度も要求します。一度でも承認してしまうと、攻撃者はアカウントに不正アクセスできるようになります。

この攻撃は特に、リモートワーク中や深夜・早朝に発生することが多く、ユーザーの注意力が低下しているタイミングを狙います。また、攻撃者は通知の頻度を調整し、ユーザーが「誤ってタップしてしまった」「通知を消すために承認した」という心理を利用します。組織においては、MFA疲れ攻撃はセキュリティ侵害の重大なリスクです。

MFA疲れ攻撃の具体的な症状と正常なMFA要求との違い

まず、自分がMFA疲れ攻撃の標的になっているかどうかを見極める必要があります。以下の比較表を参考に、状況を確認してください。

項目	正常なMFA要求	MFA疲れ攻撃の疑い
発生タイミング	自分がログイン操作をした直後	自分が操作していない時間帯(深夜、早朝、不在時)
通知の頻度	1回のみ、または数回程度(ログイン試行に応じて)	短時間に連続して10回以上届く
アプリ表示	「承認」か「拒否」で、通常はサインイン元の地域やアプリ名が正しい	不明な場所やアプリ名、または「Office 365」などとだけ表示される
ユーザーの操作	自分が意図してログインしている	自分は何も操作していない

この表に当てはまる場合、MFA疲れ攻撃の可能性が高いと言えます。ただし、まれにシステム障害や同期エラーで通知が重複することもありますが、その場合は同時期に複数のユーザーに同様の現象が発生します。単独で発生している場合は攻撃を疑ってください。

承認拒否の正しい手順

攻撃が疑われる場合、最初に行うべきは「決して承認しないこと」です。その上で、以下の手順で拒否と初期対応を実施してください。

1. 通知を無視するのではなく「拒否」を選択する:Microsoft Authenticatorの通知画面で「拒否」(Deny)をタップします。単に通知をスワイプで消すだけでは不十分です。拒否することで、攻撃側に「そのアカウントは無効化された」と認識させることがあります。
2. パスワードを直ちに変更する:MFA疲れ攻撃はパスワードが漏洩している証拠です。会社のルールに従い、管理者が許可する方法でパスワードを変更します。ただし、自分で勝手に変更できないポリシーの場合は、後述の管理者連絡を優先します。
3. サインイン履歴を確認する:Azure portalやMicrosoft 365管理センター(管理者権限がある場合)でサインインログを確認します。場所やアプリ、IPアドレスに不審なものがないかチェックします。一般ユーザーは「アカウントアクセス」ページ(https://myaccount.microsoft.com)からサインインアクティビティを確認できます。
4. Authenticatorアプリのアカウントを一時的に削除する(最終手段):攻撃が止まない場合、Authenticatorアプリから該当アカウントを削除すると通知が止まります。ただし、その後はMFAが使えなくなるため、管理者が再設定する必要があります。この操作は管理者の指示がある場合のみ行ってください。
5. 端末のセキュリティを確認する:スマートフォンがマルウェアに感染していないか確認します。不要なアプリがないか、OSとアプリが最新版かどうかをチェックします。特に、AndroidではGoogle Playプロテクト、iPhoneでは最新iOSにアップデートされていることを確認します。

管理者への報告ポイント

MFA疲れ攻撃に遭遇した場合、自分だけでは対応しきれない部分があります。組織の管理者(セキュリティ部門やITヘルプデスク)に速やかに報告し、以下の情報を正確に伝えてください。

報告すべき情報リスト

• 発生日時と継続時間:何時から何時まで、どのくらいの頻度で通知が来たか。
• 通知に表示されていた内容:アプリ名、場所(国や都市)、IPアドレスがあれば。
• 自分が行った操作:拒否したか、パスワードを変更したかどうか。
• 端末の種類とOSバージョン:iPhone/iPad/Android、iOS/Androidのバージョン、Authenticatorアプリのバージョン。
• アカウントの種類:職場アカウント(Microsoft 365など)か個人アカウントか。

管理者が確認する設定例

管理者側では、以下のような対策を検討する必要があります。

• 条件付きアクセスポリシーの強化:ログイン場所の制限や、信頼されたデバイスからのみMFAを許可する。
• MFAの要求回数制限:短時間に大量の要求がある場合、アカウントを一時的にロックする。
• Authenticatorの番号一致機能:承認時に表示される数字を入力させる方式に変更する(数字一致機能)。
• パスワードレス認証の導入:FIDO2キーやWindows Helloなど、パスワードそのものを減らす。
• ユーザーへの注意喚起:MFA疲れ攻撃に関する社内トレーニングを実施する。

失敗パターンと注意点

MFA疲れ攻撃に遭った際、やってはいけない行動や誤解しやすい点をまとめます。

• 承認してしまう: 「通知を消すために承認」は絶対に避けてください。一度承認すると攻撃者はアクセス権を得ます。
• パスワードを自分で変更してから報告しない: 変更後のパスワードを管理者に知らせないと、後から不正アクセスが続く可能性があります。必ず報告と同時に伝えてください。
• 通知が来なくなったから安心する: 攻撃者が別の時間帯に再び仕掛けることがあります。しばらくは注意深く監視してください。
• 「数回なら大丈夫」と放置する: たとえ1回でも不審な通知があれば、報告すべきです。組織全体のセキュリティに関わります。
• 社用スマホを私用で使用する: 私用アプリのインストールや怪しいサイトの閲覧は、端末のリスクを高めます。業務用端末は厳重に管理しましょう。

よくある質問(FAQ)

Q1. 拒否したのに通知が止まりません。どうすればいいですか?

その場合、攻撃ツールが連続して要求を送り続けている可能性があります。管理者にすぐ連絡し、アカウントを一時的にブロックしてもらうか、Authenticatorアプリから該当アカウントを削除する許可を得てください。あわせて、端末の再起動やネットワークの変更(Wi-Fiからモバイル回線に切り替えるなど)も試す価値があります。

Q2. パスワード変更の推奨は確実ですか?

はい。パスワードが漏洩している可能性が高いため、変更は必須です。ただし、会社のパスワードポリシーに従い、強力なパスワードを設定してください。管理者がパスワードリセットツールを提供している場合、その手順に従ってください。

Q3. 自分のスマホがウイルスに感染したのでしょうか?

必ずしもそうとは限りません。多くの場合、パスワードは他のサービスからの漏洩やフィッシングで入手されています。ただし、念のためスマートフォンのセキュリティチェックを行ってください。特に、普段使わないアプリや高額な課金がないか確認します。

Q4. 管理者への報告はメールでも良いですか?

可能であれば、電話やチャット、内部のインシデント報告システムなど即時連絡できる手段を使ってください。メールは遅延する可能性があります。早急な対応が必要なため、緊急度の高い連絡手段を選びましょう。

まとめ

MFA疲れ攻撃は、現代の多要素認証環境において増加している脅威です。突然の承認要求に慌てず、まずは「拒否」を選び、自分で勝手に操作せずに管理者へ報告することが最重要です。パスワード変更や端末の確認など初期対応を実施し、組織としての対策を促進するきっかけにしてください。日頃からMFAの設定やセキュリティ意識を高めることで、こうした攻撃から身を守ることができます。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。