【Microsoft 365】MFA疲労攻撃が疑われる時の利用者側チェックと管理者連絡

「最近、スマートフォンにMFAの承認要求が頻繁に届く」「業務中に何度も通知が来て煩わしい」という状況はありませんか。この現象は、MFA疲労攻撃と呼ばれるサイバー攻撃の可能性があります。攻撃者はパスワードを入手した後、多要素認証(MFA)のプッシュ通知を連続して送り、ユーザーが誤って承認するのを狙います。放置すると不正ログインや情報漏洩のリスクが高まるため、早急な対応が必要です。本記事では、利用者自身が行うべき初期チェックと、管理者へ報告すべき内容を具体的手順とともに解説します。

MFA疲労攻撃とは何か

MFA疲労攻撃は、攻撃者が事前にユーザー名とパスワードを入手し、そのアカウントにサインインしようとする攻撃手法です。正規のパスワードを持っているため、あとはMFAの承認を得るだけです。攻撃者は自動化ツールを使って短時間に数十回から数百回のMFAプッシュ通知をユーザーのスマートフォンに送り続けます。ユーザーが煩わしさや誤操作で承認ボタンをタップしてしまうと、攻撃者はサインイン完了となり、内部システムに侵入します。

特にリモートワークが増えた現在、スマートフォンへの通知に集中力が削がれる場面も多く、攻撃者の格好の標的となっています。Microsoft 365環境では、Azure AD(Entra ID)に登録されたアカウントに対して行われることが多く、管理者側では条件付きアクセスポリシーなどで対策可能ですが、利用者側の警戒が第一線の防御となります。

利用者自身で最初に行うべきチェック

1. 通知の頻度とタイミングを記録する

まずは、いつから通知が増えたのか、どのくらいの頻度で来るのかをメモに残します。例えば「午後2時から5分おきに10回程度」「深夜にも届いた」という情報は管理者にとって重要な手がかりになります。通知が届いた際に「承認」と「拒否」のどちらを選択したかも併せて記録してください。もし一度でも誤って承認してしまった場合は、すぐに次の手順に進みます。

2. Microsoft Authenticatorアプリの履歴を確認する

スマートフォンのMicrosoft Authenticatorアプリを開き、承認要求の履歴を確認します。アプリ内に「拒否」や「承認」の履歴が残っていれば、どのタイミングでどのサービスへのサインイン要求があったかが分かります。もし身に覚えのないサービスの承認要求が大量に並んでいる場合は、ほぼ間違いなくMFA疲労攻撃です。

3. Microsoft 365のサインインアクティビティを確認する

WebブラウザでMicrosoft 365にサインインし、https://mysignins.microsoft.com/ にアクセスします。ここで最近のサインインアクティビティを確認できます。不審な場所(見知らぬIPアドレスや国)からのサインイン試行が多数記録されている場合、攻撃を受けている可能性が高いです。管理者に報告する際に、この画面のスクリーンショットを添付するとスムーズです。

管理者へ連絡すべき内容とタイミング

以下の状況では、速やかに管理者(情報システム部門やヘルプデスク)に連絡してください。

• 短時間に大量のMFA通知が届いている(例:10分以内に5回以上)
• 一度でも誤って承認してしまったことがある
• サインインアクティビティに見知らぬ場所からのアクセスが記録されている
• パスワードを覚えていないのにパスワード変更のメールが届いた

連絡時には、以下の情報を伝えると管理者の調査が迅速に進みます。

情報項目	具体的な内容例
発生開始日時	2025年3月10日 14:00頃から
通知の頻度と回数	5分おきに合計15回
承認/拒否の操作	最初の1回だけ誤って承認、以降はすべて拒否
不審なサインインの有無	mysigninsでロシアからの試行を確認
使用端末情報	iPhone 15 Pro、Authenticatorバージョン6.8.3

自分で行える一時的な対処手順

管理者に連絡する前に、被害拡大を防ぐための一時的な対処をいくつか行えます。ただし、会社PCの設定を勝手に変更する行為は避け、あくまでユーザー自身の操作で可能な範囲に留めてください。

1. すべてのMFA要求を「拒否」する:何があっても承認ボタンをタップしないこと。不安な場合はスマートフォンの電源を切るか機内モードにして通知を遮断します。
2. パスワードを変更しない:自分でパスワードを変更すると、攻撃者が既に知っているパスワードが無効になる一方で、管理者の調査が困難になる場合があります。変更は管理者の指示に従ってください。
3. Authenticatorアプリのデバイス登録を解除しない:アプリからアカウントを削除すると、後日再登録が必要になり、さらに混乱を招きます。設定変更は管理者が行うべきです。
4. 念のため端末の再起動:まれに端末側の不具合で通知が連続するケースもあるため、再起動で改善するか確認します。
5. 社内ポータルやチームで告知を確認:組織全体で同様の攻撃が報告されていないか、情報共有を確認します。

失敗パターンとその回避方法

MFA疲労攻撃において、利用者が陥りやすい失敗をいくつか紹介します。

• 「拒否」を連打してしまう:拒否操作自体は問題ありませんが、連打しているうちに誤って「承認」をタップするリスクがあります。通知が来たら一旦スマホを置き、冷静に確認してからタップしてください。
• アプリのキャッシュクリアを試みる:設定アプリからMicrosoft Authenticatorのキャッシュを消去すると、アプリが正常動作しなくなり、かえって認証不能になることがあります。絶対に行わないでください。
• 管理者に連絡せず放置する:「どうせ誤動作だろう」と放置すると、気づかないうちに攻撃者が一度承認されたセッションを使い続け、情報漏洩につながります。必ず報告してください。
• 個人のスマートフォンを会社用と兼用している場合に、家族や友人が誤って承認してしまう:家族にも攻撃の可能性を伝え、自分以外は絶対にタップしないよう周知しておきましょう。

管理者へ伝えるべき追加情報

管理者が調査する際に、以下の情報があると原因特定や対策がスムーズになります。

• 通知が届いた正確な時刻と、拒否したか承認したかの履歴(可能出现していればスクリーンショット)
• 通知に表示されたアプリ名(例:Microsoft Authenticatorのプッシュ通知に表示される「サインイン要求」の詳細)
• 自身のスマートフォンのOSバージョン、Authenticatorアプリのバージョン
• 最近、怪しいメールの添付ファイルを開いたり、フィッシングサイトにアクセスした覚えがあるかどうか
• 同じ現象が他の同僚にも発生していないか、口頭で確認した情報

管理者はこれらの情報を基に、Azure ADのサインインログ、条件付きアクセスポリシーの調整、ユーザーアカウントの一時無効化などの対応を判断します。また、組織全体でMFA疲労攻撃対策として「番号一致」や「パスワードレス認証」の導入を検討する材料にもなります。

よくある質問

Q. MFA通知が来たけど、自分は何も操作していない。これは攻撃ですか?

その可能性が高いです。特に通知が連続してくる場合は、ほぼ攻撃です。すぐに「拒否」をタップし、上記手順に従って管理者に連絡してください。一度も承認していなければ、被害は最小限で済みます。

Q. パスワードを変更すれば解決しますか?

パスワードの変更は攻撃者の認証情報を無効にする有効な手段ですが、自分で変更すると管理者の調査と整合性が取れなくなる恐れがあります。必ず管理者の指示を仰いでから変更してください。また、MFA疲労攻撃の場合、パスワードは既に漏洩している可能性が高いため、変更後も通知が続くことがあります(攻撃者が更新前のパスワードを使い続けている場合)。

Q. 会社から支給されたスマートフォンでなく、個人のスマートフォンにMFAが設定されています。報告すべきですか?

はい、報告すべきです。MFAアカウントは会社のIDと紐付いているため、個人端末であっても会社のセキュリティに影響します。端末の情報も含めて管理者に伝えてください。

Q. 管理者に連絡する前に、一時的にMFAをオフにしてもいいですか?

絶対にしないでください。MFAを無効にすると即座にアカウントが無防備になり、攻撃者が無制限にアクセスできるようになります。通知がうるさいからといってオフにするのは最大の誤りです。

まとめ

MFA疲労攻撃が疑われる場合、利用者自身が冷静に通知履歴とサインインアクティビティを確認し、必要な情報を整理して管理者へ速やかに連絡することが重要です。自分でパスワードを変更したりMFAを無効にするなどの勝手な対応は、被害を拡大させる原因になります。また、日頃から不審な通知には決して承認せず、必ず拒否する習慣を身につけてください。組織全体での防御強化には、番号一致やフィッシング耐性の高い認証方法の導入が有効です。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。