Microsoft 365のサインイン中に突然「デバイスコード認証」を求められる場面に遭遇したことはありませんか。特に会社のPCでこの画面が表示されると、不正アクセスやフィッシングを疑って戸惑う方も多いでしょう。しかし、この認証方式は正規の場面でも使われるため、まずは落ち着いて原因を切り分けることが大切です。本記事では、デバイスコード認証が表示される理由、正規と不正の見分け方、万が一の対処法を具体的に解説します。
【要点】この記事で確認すること
- 最初に見る場所: アドレスバーのURLが「https://microsoft.com/devicelogin」または「https://login.microsoftonline.com」の正規ドメインかどうか
- 切り分けの軸: 認証要求が自分で操作したアプリやブラウザ拡張機能から発生したか、突然ポップアップしてきたか
- 注意点: 会社PCでは管理者の許可なくコードを入力しない。特にメールやチャットで送られたリンクから誘導された場合は危険
ADVERTISEMENT
目次
なぜデバイスコード認証が表示されるのか
デバイスコード認証は、Webブラウザやアプリが直接Microsoft 365と通信できない環境で利用される認証方式です。例えば、テレビやゲーム機、シンクライアント端末など、キーボード入力が制限されたデバイスでサインインする際に使われます。また、会社PCでも特定のブラウザ拡張機能やシングルサインオン設定の関係で表示されることがあります。一方で、攻撃者がユーザーを騙して正規の認証画面にコードを入力させ、アカウントを乗っ取る手口も存在します。原因は正規と不正の二通りに大別できるため、まずは表示された画面の信頼性を確認しましょう。
正規の認証フローの一例
正規のケースとして、OutlookやTeamsのデスクトップアプリでサインインする際、ブラウザが起動してコードが表示されることがあります。また、Azure ADに参加していないデバイスから社内システムにアクセスする場合や、ブラウザの開発者ツールを使ったテスト時にも発生します。Microsoftの公式ドキュメントでは、この認証方式を「デバイスコードフロー」と呼び、OAuth 2.0の標準的な仕組みの一つです。
フィッシングや不正アクセスの可能性
不正なパターンでは、攻撃者がユーザーに「Microsoft 365のセキュリティ更新」などと偽ったメールを送り、リンクをクリックさせて正規のデバイスコード認証ページ(https://microsoft.com/devicelogin)に誘導します。ユーザーが表示されたコードを入力すると、攻撃者はそのコードを使って自分のデバイスからユーザーのアカウントにアクセスできるようになります。この手口は「デバイスコードフィッシング」や「consent phishing」と呼ばれ、近年増加傾向にあります。
表示された画面が正規かどうかを見分ける方法
慌てずに以下の手順で確認してください。1つでも異なる点があれば、即座に入力を中止し、管理者に報告しましょう。
- URLを確認する: アドレスバーのURLが「https://microsoft.com/devicelogin」または「https://login.microsoftonline.com」から始まっているかを確認します。これら以外のドメイン(例:microsoft-login.comなど)はすべて偽物です。
- 表示のきっかけを思い出す: 自分が何か操作した後に表示されたか、突然ポップアップしたか。正規の場合は、アプリのサインイン操作やブラウザ拡張機能のインストール時など、明確なきっかけがあります。
- ページのデザインをチェックする: 正規の画面はMicrosoftの公式デザインに準拠しており、ロゴや色味、フォントが統一されています。不自然な日本語やレイアウトの乱れがないか確認します。
- コードが事前に表示されていないか: 正規フローでは、通常は9桁のコードが自動生成されて画面に表示されます。もしメールやチャットでコードが送られてきて、そのコードを入力するように指示された場合は、ほぼフィッシングです。
- アクセス元のアプリを確認する: 認証要求がどのアプリから来ているか表示されます。「Microsoft Teams」など見慣れたアプリ名か、不審なアプリ名(例:不明なサードパーティ製アプリ)かを確認します。
不正なデバイスコード認証の仕組みと被害例
デバイスコードフィッシングは、攻撃者が正規の認証フローを悪用する高度な手口です。具体的な流れと、正規との違いを下表にまとめました。
| 項目 | 正規の認証 | 不正な認証(フィッシング) |
|---|---|---|
| 発生のきっかけ | 自分でアプリを起動・サインイン操作 | メール・チャットのリンクをクリック、突然のポップアップ |
| 表示されるコード | 9桁の英数字が画面に表示される | 攻撃者があらかじめ生成したコードを入力させる |
| アクセス元アプリ名 | Microsoft純正アプリなど信頼できるもの | 見慣れないアプリ名や「Microsoft Office」の偽装 |
| 目的 | デバイスへの安全なサインイン | アカウント乗っ取り・情報窃取 |
| 被害例 | なし | 社内メールの覗き見、マルウェアの拡散、なりすまし送信 |
この手口の厄介な点は、ユーザーが正規のMicrosoftサイトにアクセスしているため、URLなどの見た目だけでは判別が難しいことです。攻撃者は独自のアプリをAzure ADに登録し、そのアプリに対してユーザーが同意するよう仕向けます。同意後に攻撃者はそのアプリを通じてユーザーのメールやファイルにアクセスできるようになります。
誤ってコードを入力してしまった場合の対処
もしデバイスコード認証画面でコードを入力してしまった、あるいは同意してしまった場合は、以下の手順を直ちに実行してください。
- パスワードを直ちに変更する: 同じパスワードを使っているサービスがあれば、すべて変更します。特にMicrosoftアカウントのパスワードはすぐに更新してください。
- 多要素認証を確認・強化する: Microsoft 365のセキュリティ設定で、多要素認証(MFA)が有効になっているか確認します。可能であれば、FIDO2キーやMicrosoft Authenticatorアプリなど、より強固な方法を設定します。
- アプリのアクセス許可を取り消す: Azure ADポータル(https://portal.azure.com)にアクセスし、「エンタープライズアプリケーション」→「ユーザー設定」から、不審なアプリへの同意を取り消します。会社PCの場合は管理者に依頼してください。
- セッションを無効化する: Microsoft 365のセキュリティページ(https://account.activedirectory.windowsazure.com)から、すべてのアクティブなセッションを終了します。これにより、攻撃者が保持しているトークンが無効になります。
- 管理者に報告する: 社内のセキュリティ担当者やIT管理者に、いつ、どのような画面が表示されたかを詳細に伝えてください。管理者は組織全体のアカウント監査や追加対策を実施できます。
また、不正アクセスを受けた可能性がある場合は、パスワード変更後もメールの転送設定や受信箱ルールが改ざんされていないか確認しましょう。攻撃者は受信箱ルールでメールを自動転送し、情報を盗み続けることがあります。
会社PCで設定すべきセキュリティ対策
デバイスコード認証のリスクを低減するため、会社PCでは以下のような対策を日頃から徹底してください。
多要素認証の適切な利用
Microsoft 365では多要素認証(MFA)を必須にする管理者設定が可能です。MFAが有効であれば、たとえ攻撃者がデバイスコードを入手しても、追加の認証要素(スマホ通知など)が求められるため、被害を防げる可能性が高まります。会社PCでは、可能な限りMFAを有効にし、パスワードレス認証を検討しましょう。
管理者への報告基準を理解する
次のような状況では、迷わず管理者に報告してください。
- デバイスコード認証画面が突然表示されたが、自分は何も操作していない
- コード入力後に「アプリのアクセス許可」を求められた
- 自分が知らないアプリ名が認証要求元として表示された
- コードがメールやチャットで送られてきて、そのコードを入力するよう指示された
管理者は、Azure ADの条件付きアクセスポリシーを使用して、デバイスコードフローをブロックしたり、特定のアプリのみに制限したりすることができます。また、ユーザーによるアプリ同意を禁止する設定も有効です。
よくある質問
Q. デバイスコード認証画面が表示されましたが、スマホにMicrosoft Authenticatorの通知が来ません。なぜですか?
A. デバイスコードフローは、ブラウザやアプリが直接MFAをサポートしていない場合に使われるため、通常はAuthenticatorへの通知ではなく、コード入力が求められます。コードを入力した後に、別途MFAが要求されることもありますが、初期段階ではコードのみです。もしコード入力後に何も起こらない場合は、正規のフローである可能性が高いですが、念のためURLを確認してください。
Q. 会社のPCでデバイスコード認証が頻繁に出ます。毎回コードを入力しても安全ですか?
A. 頻繁に出る場合は、ブラウザのキャッシュや拡張機能、プロキシ設定が影響している可能性があります。しかし、毎回コードを入力する前に、必ずURLと認証元アプリを確認してください。もし不安であれば、IT管理者に相談し、正規のフローかどうか検証してもらいましょう。また、条件付きアクセスでデバイスコードフローを無効にしてもらうのも一つの方法です。
Q. スマホで受信したメールにデバイスコード認証のリンクが貼ってありました。クリックしても良いですか?
A. 絶対にクリックしないでください。特に「セキュリティ確認」や「アカウント更新」などの文言で急かすメールは典型的なフィッシングです。Microsoftがユーザーにメールで直接デバイスコード認証を促すことは通常ありません。リンクをクリックせず、管理者に報告してください。
まとめ
デバイスコード認証は正規の仕組みである一方、巧妙なフィッシングに悪用されるケースが増えています。表示されたらまずURLと認証元を確認し、自分が意図した操作かどうかを冷静に判断しましょう。もし不審な点があればコードを入力せず、すぐに管理者へ報告することが重要です。会社PCでは多要素認証や条件付きアクセスの設定を徹底し、日頃からセキュリティ意識を高めておくことで被害を未然に防げます。万が一コードを入力してしまった場合も、迅速なパスワード変更とアクセス許可の取り消しでリスクを最小限に抑えられます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順