8月以降保存済みパスワードにアクセス不可に MSが認証アプリ「Authenticator」利用者に警告
マイクロソフトのパスワードにいったい何が起きているのか。多くの人がそう疑問に思うだろう。パスワードに関する発表が立て続けに行われているからだ。パスキーを利用したMicrosoft アカウントのパスワードレスのサインイン、Windowsのリモートデスクトッププロトコル(RDP)では期限切れのパスワードでもアカウントを解除できるという状況が起こり、攻撃者はパスワードスプレー攻撃を用いて2要素認証(2FA)を設定していないMicrosoft アカウントを侵害している。それに加えて、マイクロソフトは認証アプリ『Microsoft Authenticator』利用者に対し、6月1日以降は新たなパスワードを保存できなくなると明らかにした。では、その「いったい何が起きているのか」という問いの答を見ていこう。
■Microsoft Authenticatorアプリに何が起きているのか
Microsoft Authenticatorアプリは、以前から単なる2要素認証(2FA)コード生成ツールにとどまらず、多くのユーザーにとってマイクロソフト製品のデフォルトパスワードマネージャーのような役割を担ってきたといえる。実際、アンドロイドとiOSの両方でパスワードを保存し、自動入力する機能としてオートフィル」を備えていたからだ。しかし、この「パスワードの家」は崩れようとしている。マイクロソフトがセキュリティの重点をアプリからブラウザーへと大きく移すことを発表したためだ。
マイクロソフトによれば、6月からAuthenticatorアプリの動作が大幅に変更されるという。
これらの変更は、デバイス間でのパスワード自動保存・自動入力を合理化する取り組みの一環であるとされる。6月以降、Authenticatorアプリで(オートフィルを使った)新規パスワードの保存はできなくなる。7月にはオートフィルが段階的に廃止され、8月からは「Authenticatorで保存したパスワードにアクセスできなくなる」とマイクロソフトは説明している。ただし、このアプリはPasskey(パスキー)を引き続きサポートする。マイクロソフトは「もしMicrosoft アカウント用にパスキーを設定しているなら、Authenticatorアプリをパスキープロバイダーとして有効にしておく必要がある。Authenticatorアプリを無効化するとパスキーも使えなくなる」と注意を促している。
オートフィル(パスワードの自動保存・自動入力機能)の変更時期
・2025年6月以降、Authenticatorで新しいパスワードを保存できなくなる
・2025年7月中以降、Authenticatorでオートフィルが利用できなくなる
・2025年8月から、Authenticatorで保存したパスワードにアクセスできなくなる
では、今後はどうするべきなのか。マイクロソフトはEdge(エッジ)ブラウザーのパスワード管理機能を利用するよう強く推奨している。「保存されたパスワード(ただし生成されたパスワードの履歴は除く)や住所情報はマイクロソフトアカウントに安全に同期され、Microsoft Edgeで引き続きアクセスし、シームレスに自動入力機能を利用できる」というわけだ。
Authenticatorに保存したデータに関する扱い
・2025年7月以降、Authenticatorに保存されている支払い情報はデバイスから削除される
・2025年8月以降、Authenticatorで保存したパスワードにアクセスできなくなり、保存されていない生成されたパスワードはすべて削除される ・保存したパスワード(ただし、生成されたパスワード履歴ではない)とアドレスはMicrosoft アカウントに安全に同期され、引き続きアクセスできる
■Microsoft Authenticatorの代わりに本物のパスワードマネージャーを使い始めるべきだ
率直にいえば、Authenticatorアプリは一般的に認められている「パスワードマネージャー」ではなかったのだ。あくまで2FAコードを生成するアプリであり、それ以上でも以下でもない。確かに途中でいくつかの機能が追加されたが、低木に飾りを付けてもクリスマスツリーにはならないのと同じことだ。一部の人は反発するかもしれないが、ブラウザベースのパスワード保管機能も、厳密には本格的なパスワードマネージャーとはいえない。マイクロソフトがEdgeブラウザーをそのように使わせたい意図は理解できるが、低木を本物のクリスマスツリー以外の他の何かに置き換えても、同じ理屈が当てはまる。
要するに、専用のパスワードマネージャーアプリであれば、アカウントにログインする際に認証情報を自動入力できるだけでなく、パスキーをサポートし、2FAコードを生成することも可能だ。そうである以上、わざわざブラウザーをパスワード管理の主力にする必要性は薄い。
数年前にメインの作業環境をWindowsとグーグルのAndroidからアップルへ移行した身としては、アップル純正のパスワードアプリを大いに推奨する。これは、iCloudキーチェーンが備えていたログイン管理をさらに拡張し、デバイス間同期、2FAコードの生成、パスキーのサポートなどを提供していて無料で利用できる。アップルのプラットフォームを使っており、認証情報管理の基本機能以上は求めないのであれば、他のパスワードマネージャーと十分渡り合える。
また、より多機能かつクロスプラットフォーム対応を求めるなら、筆者がWindowsとAndroidでも使用している1Password(ワンパスワード)を推奨する。これは有料だが機能が豊富で、業界における長年の実績もあるため、どのオペレーティングシステムやデバイスでもパスワードやデータを安心して預けられる。Bitwarden(ビットワーデン)をはじめ、無料で利用できるアプリやベンダーロックインを避けられるアプリなどほかにも数多く存在するので、自分のニーズと予算に合ったものを探してみるとよいだろう。
