多要素認証アプリに脆弱性　アプリの更新必要　学内メールなど不正アクセス恐れ

RAINBOW（レインボー）ユーザーIDのログインなどに利用されている多要素認証アプリ「Microsoft Authenticator（オーセンティケーター）」に脆弱（ぜいじゃく）性があることが分かった。第三者にアカウントを乗っ取られ、学内メールや学生ポータルに不正にログインされる恐れがある。

同アプリを提供する米マイクロソフトが14日に明らかにした。脆弱性は現時点で修正されており、アプリのアップデートが必要だ。

悪用するには、正規のリクエストに見せかけて利用者に操作させる必要がある。利用者が偽のリクエストを誤って承認すると、アカウントへのデジタル上の鍵である「アクセストークン」が漏えいする恐れがある。

RAINBOWユーザーIDは、大学が提供するさまざまなITサービスへのログインに利用されている。大学は、IDとパスワードのほかに、多要素認証の設定を求めていた。電話を利用する方法などもあるが、大学は「Microsoft Authenticator」の利用を推奨していた。

マイクロソフトは脆弱性を4段階中で最も高い「緊急」と評価した。現時点で悪用は確認されていないとしている。

（星野）