MFA の波はアプリの世界を超え、電話の世界にも入り込んでくることが決まったようです。
2023 年 11 月 1 日以降は SR への電話問い合わせを行ったときに、電話連絡者のメールまたは電話番号に、 PIN 番号が一緒に送付されることで、問い合わせ者が電話通話者と同一であるかどうかを確認するためのフローが加わることになったとのことです。
SR は Microsoft 365 Portal などにある右上の ? マークから行うサポート依頼を指しますが、ここからの問い合わせの折り返しとして電話を選んだ場合の動作が変わるということですね。
サポート内容を入力して下部に表示されるサポートへの問い合わせボタンを押して見てください。
すると携帯電話に応答する方法が表示されますが、このケースを指しています。
肝心の PIN 番号送付先は以下のアクティブユーザーの設定画面で入力した連絡先情報になるとのこと。
過去に管理者ユーザーを作っている場合は設定を行っていないケースもあると思うので、注意しておきましょう。まだ設定していないようであれば次の SR 問い合わせまでに設定しておくのがよさそうです。
この設定変更、おそらくアメリカで発生しているソーシャルハックのようなケースを想定しているのかと思われます。
パスワードを忘れたからリセットせよというようなサポート依頼を第三者が投げ、その情報が電話越しで伝わったら一大事なので本人確認が必要ということですね。
なかなか理にかなった対応かと思います。
国内ではこのタイプのフィッシングはオレオレ詐欺として有名になりましたが、デジタルの世界への被害はまだあまり大きくないのかと思われます。
拡大する前に対処すれば多くの問題を防げるので、やっておくなら今なのかもしれません。
11 月 1 日から開始となるのであまり時間はありませんが、この新しいフローは覚えておくようにしたいですね。
音楽:龍馬