Microsoftは2026年7月13日(現地時間)、ID・アクセス管理サービス「Microsoft Entra ID」のデフォルト認証方式をパスキーに変更する計画を発表した。AIを活用した攻撃の高度化を受け、フィッシングや認証情報の窃取、ソーシャルエンジニアリングへの耐性を高める狙いがある。
SMS・音声認証は2027年2月に提供終了
Microsoftは2027年2月1日、自社が提供するSMS認証および音声認証用の通信基盤の提供を終了する。同日以降、Entra IDの標準機能としてSMS認証と音声認証は提供されない。継続利用が必要な組織は、パートナー製品を調達できるマーケットプレイス「Microsoft Security Store」を通じて通信事業者と直接契約し、関連する通信費を負担する。
新たな認証方式は2026年9月1日から順次導入される。対象組織への展開後、SMS認証または音声認証が有効な利用者はパスキーも自動的に有効化される。多要素認証を実施する際には、パスキー登録を求める画面が表示される。
AI時代のフィッシング攻撃の脅威
Microsoftによると、AI時代には認証情報を狙う攻撃が急速に高度化している。同社の脅威分析部門「Microsoft Threat Intelligence」は、AIを活用したフィッシング攻撃でリンクのクリック率が最大54%に達した事例を確認した。従来型の攻撃は約12%であり、AIによって攻撃の効果が高まっている。この数値は、Microsoftが2025年に公開した「Microsoft Digital Defense Report 2025」に基づく。
SIMスワップや多要素認証を回避する手口も利用しやすくなり、繰り返し実施可能になっていると同社は指摘する。認証情報が侵害された場合、AIを活用した攻撃では侵入後の情報探索、言語習得、組織内での横展開を人手より短時間で自動実行できる。そのため、フィッシング耐性を備えた認証方式の採用が必要だとMicrosoftは説明した。
パスキーへの移行スケジュール
Microsoftはほぼすべての組織に対し、追加費用なしで利用者をパスキーをはじめとするフィッシング耐性のある認証方式へ移行することを推奨した。移行準備として、MicrosoftはSMS認証または音声認証を利用する利用者やグループの確認を求めた。その上で、利用端末や運用に適したパスキーを選択し、導入計画を策定するよう促した。
Entra IDは、「iCloudキーチェーン」や「Google パスワード マネージャー」に保存する同期型パスキーのほか、Microsoft Authenticator、Windows上のEntraパスキー、FIDO2セキュリティキーなどの端末固定型パスキーにも対応する。多要素認証時にパスキー登録を促す「登録キャンペーン」機能を利用すれば、多数の利用者への導入を支援できる。利用者には変更内容や登録方法を事前に知らせるよう求めた。
移行スケジュール詳細
- 2026年9月1日:パスキー登録の勧告開始(SMS・音声認証の利用者を自動的にパスキー有効化)
- 2026年9月18日:対応通信事業者の一覧と価格、商用条件の公開
- 2026年10月30日:Microsoft Security Storeでの通信事業者設定開始
- 2027年2月1日:Microsoft提供のSMS認証と音声認証の終了
2027年2月1日以降、SMS認証または音声認証を利用する利用者はサインイン前にパスキー登録が必要となる。登録を促す仕組みは全テナントに適用され、これを停止する設定は用意しない。今回公表した日程はパブリッククラウド版のEntra IDが対象だ。他のクラウド環境は別日程で対応し、詳細は後日発表される。
Microsoftは、SMS認証と音声認証は多要素認証の普及に貢献したものの、現在の脅威環境には十分対応できなくなったとの認識を示した。利用者の利便性と攻撃耐性の両立を図るため、移行時期や代替手段、復旧方法を明示し、パスキーへの移行を進めると説明した。



