【Microsoft 365】承認通知が深夜に届く時に確認したい不正サインインと対処の流れ

深夜にスマートフォンが鳴り、「承認通知」という見慣れないメッセージが届くと、多くの人は一瞬不安になります。「自分のアカウントが誰かに使われているのではないか」と感じるからです。しかし、必ずしも不正な操作とは限らず、システムの定期処理や意図しない同期が原因であることもあります。本記事では、深夜の承認通知が届いたときに、不正サインインかどうかを切り分ける具体的な手順と、実際に不正が確認された場合の対処の流れを解説します。組織の管理者に報告すべき内容や、再発防止策についても詳しく紹介します。

深夜の承認通知が届く原因として考えられるもの

承認通知が深夜に届く原因は、大きく分けて「不正サインイン」と「正当な処理」の2つです。まずは可能性を整理し、あわてずに対処するための視点を持ちましょう。

不正サインインの可能性

攻撃者が入手したパスワードでサインインを試み、多要素認証(MFA)の承認を求めてきた場合、深夜に通知が届くことがあります。攻撃者はユーザーが気付きにくい時間帯を狙うため、深夜や早朝が典型的です。特に、海外からのアクセスや普段使わないデバイスからの試行は危険信号です。また、パスワードスプレー攻撃やフィッシングで収集した認証情報を使った自動試行も多く見られます。

正当な処理による通知

一方で、以下のような状況では正規の処理であっても深夜に承認通知が送られることがあります。

• Microsoft 365のバックグラウンド同期(OneDriveやOutlookのキャッシュ更新など)
• スケジュールされた管理タスク(例:自動返信ルールの適用、メールフローの実行)
• Windows Update後のOfficeアカウント再認証
• 会社のVPN接続が切れた後の再接続トークン更新

これらの場合、通常はユーザーの操作を伴わないため、「自分は何もしていないのに通知が来た」という状態になります。ただし、不正の可能性を完全に否定できるわけではないため、サインインログの確認が必要です。

項目	正常なサインイン	不正サインイン
時間帯	勤務時間帯が多く、深夜はまれ	深夜・早朝が多く、休日も
アクセス元IP	会社IPレンジ、自宅IP(会社VPN経由)	未知の国や地域、匿名化サービス
デバイス	会社貸与PC、登録済みスマートフォン	未登録のPC、古いOS、仮想マシン
アプリケーション	Outlook、Teams、OneDriveなど業務アプリ	不明なアプリ、レガシ認証プロトコル
多要素認証の状態	ユーザーが操作して承認	ユーザーは未操作、または拒否後に連続試行

最初に確認すべき「サインインログ」の見方

承認通知が届いたら、まずMicrosoft 365のサインインログを確認します。このログには、いつ、どこから、どのようにサインインが試みられたかが記録されています。不正の有無を判断する最初の手がかりです。

サインインログにアクセスする手順

1. Webブラウザで Microsoft 365管理センター にアクセスし、管理者アカウントでサインインします。通常のユーザーアカウントではログを閲覧できないため、管理者権限が必要です。自分が管理者でない場合は、管理者に依頼してください。
2. 左側のナビゲーションから「ユーザー」 > 「アクティブなユーザー」を選択し、該当ユーザーをクリックします。
3. ユーザー詳細画面で「サインイン アクティビティ」または「サインインログ」のリンクをクリックします。画面によっては「サインイン」タブが直接表示される場合もあります。
4. 表示されたログ一覧で、承認通知が届いた時刻前後の行を探します。日付フィルターで範囲を絞り込むと効率的です。
5. 各サインイン行をクリックすると詳細が表示されます。特に「場所」「IPアドレス」「クライアントアプリ」「認証に使用された方法」に注目してください。

ログの見方として、緑色のチェックマークは成功したサインイン、赤い×は失敗を示します。深夜の成功サインインが自分以外のアクセスであれば不正の可能性が高いです。また、「対話型サインイン」と「非対話型サインイン」の区別も重要で、非対話型はバックグラウンド処理で発生することがあります。

ユーザー自身で確認できる範囲

管理者権限がない一般ユーザーでも、個人の「マイ サインイン」ページから一部の履歴を確認できます。https://mysignins.microsoft.com にアクセスし、自分のアカウントでサインインすると、最近のサインイン履歴がリスト表示されます。ここで見られる情報は限定的ですが、明らかに見知らぬ場所やデバイスがあれば不正と判断できます。

不正サインインかどうかの判断基準

サインインログを確認した上で、以下の基準で不正かどうかを判断します。

• 場所が普段と異なる: 日本国内でしか使わないアカウントなのに、海外(特にロシア、中国、ナイジェリアなど)からのサインインがあれば要注意です。IPアドレスの国情報は100%正確ではありませんが、大きな乖離は疑うべきです。
• デバイスが未知: サインインログには「デバイス」や「ブラウザー」の情報が含まれます。会社PCや個人のスマートフォン以外のデバイス名が表示された場合は、フィッシングやマルウェアの可能性があります。
• アプリケーションが不審: 「Exchange ActiveSync」「IMAP」「POP3」などのレガシ認証プロトコルは攻撃者に悪用されやすいため、これらのアプリからのサインインは危険です。また、「Microsoft Teams」や「Outlook」などよく使うアプリでも、最新バージョンでない場合は注意が必要です。
• サインインの試行回数: 短時間に複数回の失敗が続き、その後成功している場合、ブルートフォース攻撃の可能性があります。ログの「状態」列で失敗と成功のパターンを見てください。

また、多要素認証(MFA)の通知が深夜に届いた場合、自分が操作していないのに「承認」を求められたら、それはほぼ間違いなく不正試行です。このとき、絶対に承認ボタンを押してはいけません。押してしまうと攻撃者にアクセスを許すことになります。

よくある失敗パターン

実際の事例では、ユーザーが深夜の通知に焦って「拒否」ではなく「承認」をクリックしてしまい、結果的にアカウントを乗っ取られたケースがあります。また、「パスワードをすぐに変更しよう」と会社PCでログインして変更したところ、その変更履歴がログに残り、管理者の調査を妨げたという例もあります。不正が疑われる場合は、まず管理者に連絡し、指示を仰ぐことが重要です。

不正サインインが確認された場合の対処手順

サインインログで明らかに不正なアクセスが確認された場合、以下の手順で対処します。ただし、一般ユーザーが独自に操作するのではなく、必ず管理者と連携しながら進めてください。

1. パスワードを直ちにリセットする: 管理者が強制リセットを実行します。ユーザー自身が変更する場合は、強力な新しいパスワード(12文字以上、記号を含む)を設定し、過去のパスワードと使い回さないようにします。
2. 多要素認証(MFA)を強制する: もしMFAが未設定であれば、必ず設定します。可能であれば、管理者側で条件付きアクセスポリシーを適用し、MFAなしではサインインできないようにします。
3. セッションを無効化する: 管理センターで「すべてのセッションを無効にする」操作を行います。これにより、現在のトークンが無効化され、攻撃者が継続してアクセスできなくなります。
4. 不明なデバイスをブロックする: ユーザーの「デバイス」一覧から、身に覚えのないデバイスを削除します。Azure AD参加やIntune管理下にある端末以外は安全ではありません。
5. レガシ認証を無効化する: Exchange Onlineなどでレガシ認証(IMAP、POP、SMTP AUTH)を無効にします。この設定は管理者のみが行えます。

これらの対処を実施した後も、ログを継続的に監視し、異常なアクセスがないかを一定期間確認してください。

管理者に報告すべきことと封じ込めの流れ

ユーザーが不正の疑いを感じたら、速やかに管理者へ報告します。管理者が迅速に封じ込めを行うために、以下の情報を伝えてください。

• 承認通知が届いた日時(UTCとローカル時間の両方)
• 通知に表示されていた場所やIPアドレス(あれば)
• 自分がその時刻に操作していたアプリケーションの有無
• サインインログのスクリーンショット(管理者メニューが見える場合は不可)
• 最近のパスワード変更やアプリのインストールなどの行動

管理者は受け取った情報を基に、以下の封じ込めを実行します。

• 該当ユーザーのアカウントを一時的に無効化する。
• 条件付きアクセスポリシーで、リスクの高いサインインをブロックする。
• 組織全体でレガシ認証を無効化し、MFAを強制する。
• Cloud App Security(Microsoft Defender for Cloud Apps)で異常動作を検出する。

管理者とユーザーが連携することで、被害を最小限に抑えられます。

再発防止のための設定と注意点

不正サインインを防ぐためには、組織としての設定強化とユーザー自身の意識向上が欠かせません。以下に具体的な対策を紹介します。

組織レベルでの対策

• 条件付きアクセスポリシーの適用: 特定の場所(例:日本国外)からのアクセスをブロックする、MFAを必須にする、登録済みデバイスからのみ許可するなどのルールを設定します。
• パスワードレス認証の導入: Windows HelloやMicrosoft Authenticatorアプリを使ったパスワードレス認証は、パスワードを使わないため窃取リスクが減ります。
• レガシ認証の無効化: ほとんどの組織ではレガシ認証は不要です。Exchange Onlineの認証設定からオフにしましょう。
• ユーザーのトレーニング: フィッシングメールや不審なリンクをクリックしないよう、定期的なセキュリティ教育を実施します。

ユーザーが個人でできる対策

• パスワードは使い回さず、各サービスで異なる強固なものを設定する。
• 多要素認証を必ず有効にし、アプリ通知だけでなく、番号一致やFIDO2キーなどを検討する。
• 深夜の承認通知が届いたら、まずは落ち着いてサインインログを確認し、不審ならすぐ管理者に連絡する。
• 会社PCでは管理者の許可なくセキュリティソフトを無効にしない。

よくある質問(FAQ)

Q1: 承認通知を拒否しても安全ですか?

「拒否」を選択すれば、そのサインインはブロックされます。しかし、攻撃者は引き続き別の方法で試行してくる可能性があるため、拒否しただけでは安心できません。必ずログを確認し、管理者に報告してください。

Q2: サインインログに自分以外のアクセスが見当たらない場合は?

ログに記録されない場合でも、不正なトークンが発行されている可能性があります。その場合は管理者が「すべてのセッションを無効化」する必要があります。また、アプリパスワードが悪用されているケースもあるため、不要なアプリパスワードを削除することも有効です。

Q3: 会社のPCがマルウェアに感染している可能性は?

深夜の承認通知と同時期に、PCの動作が重い、不審なポップアップが出るなどの症状があれば、マルウェアの可能性があります。その場合は直ちに社内のセキュリティ担当者に連絡し、ネットワークから切断してください。

Q4: 管理者に連絡するまでの間、アカウントを自分で無効化してもいいですか?

管理者権限がない一般ユーザーはアカウントを無効化できません。勝手にパスワードを変更すると、管理者が調査する際にログが上書きされるなどの問題が起きます。まずは自分の端末をネットワークから切り離し、管理者に連絡を取ることを優先してください。

Q5: 深夜以外の時間帯でも同様の通知が届くことはありますか?

攻撃者は勤務時間帯を避ける傾向がありますが、必ずしも深夜だけとは限りません。日中でも不審な通知があれば、同様の手順で確認してください。

まとめ

深夜の承認通知は、不正サインインの兆候である可能性が高いですが、正当な処理であることもあります。まずはサインインログを確認し、アクセス元の場所やデバイスを精査することが第一です。不正が疑われる場合は、自分の判断でパスワード変更などを行わず、必ず管理者に連絡しながら手順を進めてください。組織として条件付きアクセスやMFAを強化することで、不正サインインのリスクを大幅に低減できます。日頃からセキュリティ意識を持ち、不審な通知には冷静に対処しましょう。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。