【悲報】Microsoftさん、ついに「秘密の質問」を殺害へ。2027年1月に完全廃止www
忘れるはずのない思い出が、牙を剥く。
長年、私たちのデジタルライフを支えてきた(あるいは煩わせてきた)「秘密の質問」が、ついにその役目を終えようとしています。Microsoftは、2027年1月をもって、Microsoft Entra ID(旧Azure AD)におけるパスワードリセット手段から「秘密の質問」を完全に廃止すると発表しました。
「母親の旧姓は?」「最初に飼ったペットの名前は?」といった、かつては本人しか知り得ないと思われていた情報は、SNSが普及した現代において、もはや「秘密」ではなくなっています。攻撃者はこれらの情報を容易に収集し、正規ユーザーになりすましてアカウントを乗っ取ることが可能になっていました。Microsoftはこの「最弱のリンク」を断つことで、認証全体の強度を底上げする決断を下しました。
「守る」から「弱いものを消す」フェーズへ
今回の発表の肝は、新機能の追加ではなく「脆弱な手段の廃止」にあります。Microsoftによれば、現在のフィッシング対策において、パスキー(Passkey)などの強力な認証手段を導入しても、隣に「秘密の質問」のような弱い回復手段が残っていれば、攻撃者は迷わずそちらを狙います。これを「隣の弱い窓」と呼び、窓そのものを塞ぐのが今回の戦略です。
実際に、フィッシング体制のある多要素認証(MFA)は、不正アクセスの99%以上を遮断すると報告されています。しかし、それでもID侵害が止まらない理由の一つが、認証そのものではなく「アカウント回復フロー」を突くソーシャルエンジニアリングでした。ヘルプデスクに電話し、もっともらしい嘘で新しい認証手段を発行させる手口に対し、Microsoftは「政府発行のID」と「顔認証」を要求する新しい回復フローを導入します。
パスキー50億件時代の到来とAIの脅威
世界ではすでに50億件ものパスキーが利用されており、認知率も90%に達しているというデータがあります。Microsoft社内では、すでに99.6%のユーザーがフィッシング耐性のある認証で保護されているとのことです。しかし、普及の裏では「ベンダーロックイン」の問題も浮上しています。iPhoneで作ったパスキーをWindowsで使う際の摩擦など、プラットフォーム間の移行性はまだ課題として残っています。
さらに、AIの進化がこの状況を加速させています。AIによって自動化されたフィッシングメールのクリック率は、標準的なものの4.5倍に跳ね上がっており、攻撃のスケールは最大50倍に拡大していると予測されています。AIエージェントがユーザーに代わって行動する時代において、一度IDが侵害されれば、その被害は計り知れません。パスキーはもはや「あれば便利なもの」ではなく、AI時代を生き抜くための「必須条件」となりつつあります。
ネットの反応
質問使うことないから意味不明の長い文字の羅列にしてるわ。廃止は妥当。
最強のセキュリティはネットを使わないこと。テック企業の言うことは話半分で聞いてる。
グランド・イリュージョンのトリックでこういう設問を突破するシーンあったな。現実が追いついたか。
面倒くさいって理由で放置してる奴らが一番危ないんだよな。俺も含めて。
セキュリティ費用がITコストの半分を占める時代が来るってマジ?発展が止まりそうで怖いわ。
これからは体の中にデバイス埋め込むしかないだろ。生体認証すら突破されそう。
Remote Desktopがパスキーに対応してないの何とかしてくれよ。Entra IDだけ先行されても困る。
yubikeyとか物理キーを拒否するサイトがあるのが一番の謎。あれが最強なのに。
スマホなくした瞬間に人生詰む仕様はやめてほしい。絶対壊れないスマホを先に作れ。
指紋認証が雨の日に反応しないとか、そういう物理的な信頼性の低さをどうにかしてくれ。
10年前のパスポートと顔が違うって言われて認証通らない未来が見えるわ。
オレオレ詐欺のデジタル版が加速するだけじゃないのこれ?
ようやく意味のない機能が消えるのか。Windowsのセットアップで強制されるのが苦痛だった。
秘密の質問の答えを忘れて詰んだことがある俺にとっては朗報でしかない。
1passwordとかの管理ソフトがもっと普及しないと、一般人はついていけないぞ。
AIが発達したら、顔認証すらディープフェイクで突破されるんじゃないか?地獄の始まりだわ。
メーカーが対策しても、ユーザーが「面倒」って思ってるうちは何も変わらんよ。
悪いこと考える奴がいなければ、こんなコストかけなくて済むのになあ。1984の世界かよ。
パスワードレスって響きはいいけど、管理の責任が全部自分に返ってくるのが重いわ。
2027年って結構すぐだな。今のうちに身辺整理しとくか。
AIの所感
今回のMicrosoftの決断は、セキュリティにおける「足し算」から「引き算」への重要なパラダイムシフトを象徴しています。多機能化する攻撃手法に対し、防御側が守備範囲を広げ続けるのには限界があります。脆弱であることが明らかな「秘密の質問」を廃止することは、攻撃者の入り口を物理的に塞ぐ最も効果的な手段と言えるでしょう。一方で、スマホ紛失時や災害時のリカバリー、さらにはAIによるディープフェイクへの対抗など、新たな課題も浮き彫りになっています。私たちは、利便性と引き換えに「自分自身が唯一の鍵である」という重い責任を、より自覚的に引き受ける時代に突入したのかもしれません。