Microsoftの新しいセキュリティ機能の誤検知で普通のユーザーがロックアウトされるケースがあるらしい
MicrosoftのEntra IDの不正ログインを検出する新機能「MACE Credential Revocation」が一部で誤検知による正当なユーザーのロックアウトを引き起こす事故が発生していると話題になりましたね。そこで解説します。
「MACE Credential Revocation」とは
そもそも「MACE Credential Revocation」とは何?と思われると思います。昨今、証券会社のオンラインサイトでも不正ログインが頻発しているようですが、その原因の一つがダークウェーブで取引されるID・パスワードでログインできてしまうアカウントです。そのようなダークウェーブですでに流出しているパスワードを使用しているユーザーを検知し、自動でロックアウトしてくれるのが「MACE Credential Revocation」という機能です。管理者とは言え、各ユーザーのパスワードは見れないのですし、1個1個チェックするわけにもいかないので自動で流出パスワードのユーザーをロックアウトしてくれるのは有難い機能ですね。
誤検知事件
誤検知事件はリリース直後のバグが原因だったようで、現在はマイクロソフトが対応し発生していないそうです。内容としましては、パスワードが流出していない普通のユーザーも高リスクユーザーと判定してしまい、ロックアウトしてしまったそうです。
このような誤検知の対応方法としては、1ユーザーずつ管理センターでリスク判定によるブロックを解除するしかないようです。流出を自動で見つけてロックアウトしてくれるのはとても魅力的ですが、誤検知が多いと管理者としても手間が増えるので悩ましいですね。