世界各国の企業が採用している、Microsoftのサブスクリプション形式オフィススイート群「Microsoft 365」。その多要素認証(MFA)を回避し、Microsoft 365の正規アカウントになりすます攻撃が発生した。
多要素認証は複数の認証要素を求めることでセキュリティを強化する認証方式だが、それが崩れた形だ。サイバー攻撃者はどのように多要素認証を回避したのか。Microsoft 365にはどのような設計の問題があったのか。セキュリティベンダーMitiga Securityの分析を基に解説する。