MFA(多要素認証)に対するユーザーの抵抗は多くの場合、認証体験の不便さが原因です。
本記事では、Microsoft Authenticator の 「プッシュ通知 × 番号一致(Number Matching)」 という組み合わせが、なぜセキュリティと利便性を両立できるのかを解説し、管理者が今すぐ設定できる手順をお伝えします。
「利便性」が裏目に出た「MFA 疲労攻撃」の脅威
これまで最も「楽」だった認証方法は、スマホに届く通知に対して「承認」ボタンをタップするだけのプッシュ通知でした。
しかし、この手軽さを突いたのがMFA 疲労攻撃(MFA Fatigue Attack)です。
リスク:
ユーザーが「また通知か、うるさいな」と深く考えずに「承認」をタップしてしまったり、ポケットの中で誤操作したりすることで、不正アクセスを許してしまいます。
攻撃の手口:
攻撃者が盗んだ ID・パスワードで執拗にログインを試行し、ユーザーのスマホに大量の承認通知を送りつけます。
「番号一致(Number Matching)」とは何か
「番号一致」とは、サインイン画面に表示される 2桁の数字 を確認し、Microsoft Authenticator アプリ上の入力欄にその番号を直接入力する仕組みです。
| 特徴 | 内容 |
| セキュリティ | サインイン画面(PC等)を見ている本人しか番号がわからないため、遠隔地の攻撃者は突破不能。 |
| ユーザー体験 | SMSのように「6桁のコードを探して転記する」より早く、1タップよりは確実に本人の意思を確認できる。 |
番号一致の認証フロー
- PCでサインイン: ユーザーが ID・パスワードを入力すると、画面に 2桁の数字(例:47) が表示されます。
- スマホに通知: Authenticator アプリに通知が届き、開くと数字の入力欄が表示されます。
- 数字を入力: PC画面に表示されている「47」をアプリに入力し、「はい」をタップします。
- 認証完了: 正しい数字が入力された場合のみ、PC側のサインインが許可されます。
なぜこれが安全なのか
「番号一致」の最大のポイントは、「ユーザーが今、まさに自分の画面を見ていること」を物理的に証明できる点にあります。
もし攻撃者がプッシュ通知を送りつけても、ユーザーの手元には数字がありません。
ユーザーも「心当たりのない数字入力画面」が出れば、即座に異常に気付くことができます。
これにより、利便性を損なうことなく MFA 疲労攻撃を完全に無力化できるのです。
認証方式、何が一番ラク?何が一番安全?
「番号一致」が現実的な最適解なのか?
「番号一致」は、パスキーのような完全な次世代認証へ移行する前段階として、極めて有効なソリューションです。
ユーザー体験の改善:
「6桁の数字を一時的に覚えて、スマホに正確に打ち込む」という SMS 方式のストレスに比べ、
番号一致は「PC画面に表示された 2桁の数字を、スマホの通知画面にそのまま入力するだけ」です。
脳への負荷が少なく、ユーザーにとっても「6桁手入力よりラクになった」とポジティブに受け入れられやすいのが特徴です。
「MFA 疲労」を物理的に阻止:
従来のプッシュ通知(承認ボタンのみ)は、攻撃者が何度も通知を送る「MFA 疲労攻撃」の標的になりやすい欠点がありました。
番号一致を導入すると、「PC画面に表示された数字を知っている人」しか認証を通せなくなるため、この攻撃をほぼ無効化できます。
参考:Microsoft Authenticator の MFA 疲労攻撃対策 – 数値の一致による MFA が 有効化されます
管理者向け:設定・確認手順
番号一致は現在、Microsoft 管理設定により既定で有効化されています。
(無効化は可能ですが、セキュリティ上は推奨されません。)
ただし、環境によっては設定状態が異なる可能性があるため、管理者による確認を推奨します。
1. Microsoft Entra 管理センターへのアクセス
Microsoft Entra 管理センターに、
特権役割管理者、グローバル管理者、または認証ポリシー管理者のいずれかでサインインします。
2. 認証方法ポリシーの確認
- 左メニューの [認証方法] > [ポリシー] の順にクリックします。
- 認証方法の一覧から [Microsoft Authenticator] を選択します。
- [有効化およびターゲット] タブをクリックします。
- [認証モード] の項目を確認します。
- 「すべて」 に設定されている場合、Microsoft の既定の動作により、自動的に番号一致が適用されます。
ユーザー向け:初回セットアップのポイント
Microsoft Authenticator の番号一致は、アプリとアカウントの紐づけが完了している前提で動作します。
未登録の社員には以下の手順でセットアップを案内してください。
Step 1 — Microsoft Authenticator アプリをインストール
iOS(App Store)または Android(Google Play)から「Microsoft Authenticator」を検索してインストール。
Step 2 — セキュリティ情報ページでアカウントを追加
PC のブラウザで https://aka.ms/mysecurityinfo にアクセスし、
「サインイン方法の追加」→「Microsoft Authenticator」を選択。
画面の指示に従い QR コードを読み取ります。
Step 3 — 確認テストを実施
設定完了後、テスト通知が送られます。
PC 画面の2桁の数字を Authenticator に入力して「はい」をタップすればセットアップ完了です。
社員の「抵抗」を減らすコミュニケーション設計
技術的な設定が完璧でも、ユーザーへの説明が不足していると「また面倒なルールが増えた」という不満に繋がります。
以下の3つのポイントを押さえて、スムーズな移行を促しましょう。
1. 「自分を守るための変更」であることを伝える
「会社が決めたから」ではなく、「あなたのアカウントが乗っ取られるのを防ぐため」という当事者目線のメッセージが重要です。
- 伝え方の例:
「最近、寝ている間や仕事中に、身に覚えのない『承認ボタン』がスマホに届き、うっかり押してしまうことで不正アクセスを許してしまう被害が急増しています。今回の変更は、皆さんがこうした『うっかりミス』で被害に遭わないための保護機能です」
2. 「何が変わるのか・どう楽になるのか」を具体的に示す
変更点を「増えた手間」ではなく「進化した操作」として提示します。
- 6桁入力(SMS等)を利用していたユーザーへ:
「もう長い数字を覚えたり、何度も画面を往復したりする必要はありません。PC画面の2桁をスマホに打つだけで完了します」 - 1タップ承認を利用していたユーザーへ:
「ボタンを押すだけの操作から、2桁の数字を入れる操作に変わります。これにより、外部からのなりすまし通知を100%見分けることができるようになり、格段に安全になります」
3. 「よくあるつまずき」を先回りして解消する
「わからなければ IT 部門へ」と投げる前に、以下の代表的な FAQ を共有しておくと、ヘルプデスクへの入電を大幅に減らせます。
Q:スマホに数字の入力画面が出てこない!
A: 通知をタップして Microsoft Authenticator アプリを直接開いてください。
アプリを開けば入力画面が表示されます。
Q:PCに表示された数字を見逃してしまった!
A: サインイン画面の「やり直す」をクリックすれば、新しい数字が再発行されます。
まとめ
Microsoft Authenticator の「プッシュ通知 + 番号一致」は、従来の6桁入力より直感的で使いやすく、かつ MFA 疲労攻撃に対する強力な防御を実現します。
2023年5月以降、すべての Entra ID テナントで既定有効化されており、管理者が意識しなくても適用されていますが、認証方法ポリシーで明示的に管理することが推奨されます。
社員が「また認証か…」とため息をつくのは、多くの場合、認証方法が不便すぎるからです。
番号一致への移行とあわせて、わかりやすいユーザー向けコミュニケーションを設計することで、セキュリティ施策を「嫌われない仕組み」に変えることができます。
セキュリティ観点では、必須となる設定です!
社員の方々にも納得していただきましょう!
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
