Microsoft Authenticator 通知に追加の詳細情報を表示する

Microsoft Authenticator は、MFA とパスワードレス認証のための Microsoft の公式モバイルアプリケーションで、Entra ID の認証方式として一般的に使用されます。

MFA またはパスワードレス認証のリクエスト後、このアプリケーションは、追加の詳細情報を表示できるプッシュ通知を送信します。それには、ターゲットアプリケーション、ログイン試行の場所 (IP アドレスから Microsoft によって推測) などが含まれます。この情報は、そのプロンプトが正当なものか、悪意のある攻撃であるかどうかをユーザーが判断するのに役立ちます。

この露出インジケーター (IoE) は、次の設定をチェックします。

• [Show application name in push and passwordless notifications] (プッシュ通知とパスワードレス通知にアプリケーション名を表示する)
• [Show geographic location in push and passwordless notifications] (プッシュ通知とパスワードレス通知に地理的な場所を表示する)

両方の設定で期待される安全な値は [Enabled] (有効) です。中間値 [Microsoft managed] (Graph API のデフォルト) を選択すると、Microsoft は変化するセキュリティ脅威の状況に応じて、正確な値を定義できます。ただし、この IoE が 2024 年後半に導入された際、Microsoft はこれらの設定を [Disabled] に設定しました。その結果、この IoE はデフォルトで [Microsoft managed] を安全であるとは見なしません (ただし、パラメーターでこの動作を調整できます)。

この機能は MFA 疲労攻撃に対して特に有効です。この攻撃では、被害者が最終的に承認するまで攻撃者は大量の通知を送信します。追加の詳細情報があると、ユーザーの意識が高まり、悪意のある試みを認識したり拒否したりする可能性が高くなります。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「Authenticator アプリにサインインコンテキストを表示する」ことを推奨しています。

Tenable では、Microsoft Authenticator 認証方法の次の 2 つの設定で [Enabled] ステータスを適用することを推奨しています:

• Show application name in push and passwordless notifications
• Show geographic location in push and passwordless notifications

これらの追加の詳細情報の表示方法や、さまざまな方法でそれらを有効にする手順については、次の Microsoft ドキュメントを参照してください: Microsoft Authenticator 通知で追加のコンテキストを使用する方法 - 認証方法ポリシー。

脆弱性の説明に記載されているように、Tenable は [Microsoft managed] ステータス (Graph API のデフォルト) を使用しないことを推奨しています。現在では (2024 年後半の時点で)、これは [Disabled] に相当するからです。

必要であれば、これらの設定をグローバルに [Enbaled] に設定し、[Include] と [Exclude] の設定を使用して「ターゲット」グループを指定できます。Tenable では、[Include] に [All users] オプションを使用して、これらの設定をすべてのユーザーに適用することを推奨しています。

名前: Microsoft Authenticator 通知に追加の詳細情報を表示する

コード名: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure