インタビューIT プロフェッショナルの Konstantin Gizdov 氏は、同社の多要素認証 (MFA) のバグによって Microsoft アカウントからロックアウトされたが、サポート側はバグを認めず、アカウントを回復することも拒否したという。
Gizdov 氏は、エディンバラの KGE Consultancy Ltd の創設者であり、Arch Linux の信頼できるユーザーです。
問題は、Microsoftアカウントの名前が変更されたことを知らせるメールを受け取ったことから始まりました。「すぐに『私ではありません』というボタンをクリックしました」と彼は投稿で述べ、その後サポートに連絡を取ることができました。
彼は既にMicrosoftアカウントに2要素認証を設定していました。なぜこのメールを受け取ったのか、いまだに分かりません。サポート担当者は、誰かのサインインミスが原因だと言い訳しましたが、不正アクセスの兆候は見られませんでした。
MicrosoftアカウントはMicrosoft 365アカウントとは異なり、主に消費者向けではあるものの、新しいWindows PCにログインしたり、Microsoft Storeからアプリを入手したりする上で、避けて通ることはできません。「このMicrosoftアカウントは、私にとって個人的にも仕事上でも非常に重要です」とギズドフ氏はThe Regに語っています。
「それだけでなく、Microsoft のポリシーでは、MFA をバックアップしてデバイス間で同期するには個人アカウントが必要です。」
もしアクセスできなくなっていたら、「私はすべてのものを失い、起業に大きな影響が出ていただろう」と彼は言う。
Microsoft アカウントによって保護される資産には、OneDrive ファイル、Outlook.com または Hotmail の電子メール アカウント、さらには暗号化されたハード ドライブの Bitlocker キーなどが含まれます。
ギズドフ氏は、電話番号を使ったサインインのオプションを削除することで、アカウントのセキュリティを強化することを決意した。これは、Microsoft Authenticatorアプリへの強制移行時にMicrosoftが自動的に追加したオプションだ。ギズドフ氏によると、電話番号自体は削除しておらず、サインインのエイリアスとして電話番号を使うオプションを削除しただけだという。
その時点で事態は急速に悪化しました。ページは真っ白になり、「URLは利用できなくなりました」と表示されました。さらにギズドフ氏によると、「30秒も経たないうちに、私のすべてのデバイスが自動的にログアウトされました」とのことです。
彼はマイクロソフトのシステムに関する豊富な経験を活かして問題を解決した。しかし、どれもうまくいかなかった。ログインもパスワードのリセットもできず、「そのユーザー名のアカウントは見つかりません」といった誤解を招くエラーが表示され続けた。
結局、彼は問題を「アカウントログインではまだMFAが実行されるはずだと認識しているが、それができない。アカウントから永久にロックアウトされてしまった」と診断しました。
サポートに連絡しなければならず、そのためには新しいMicrosoftアカウントを開設する必要がありました。彼は「文字通りオンラインチャットで何時間も」やり取りし、ようやくアカウント復旧フォームの提出を求められました。フォームに記入し、あらゆる個人情報を提供しましたが、「自動復旧プログラム」によってすべての試みが拒否されました。
彼は再度サポートに連絡し、新しいアカウント回復フォームを受け取りましたが、アカウントが停止されていなかったため、それは機能しませんでした。
ギズドフ氏は(それ自体が功績と言えるでしょう)人間のサポート担当者と連絡を取り、こう言われました。「当社のプラットフォームには問題の報告はありません。バグもありません。アカウントはMFAに設定されていますので、必要な認証情報でログインしてください。ハッキングの試みではないため、問題をエスカレーションすることはありません。さようなら、良い一日を!」
リカバリコードがあることを確認してください
リカバリコードがあることを確認しなさい、とギズドフはアドバイスする
ギズドフ氏のアカウントが救われたのは、2つの理由があったとギズドフ氏は語る。まず、パスワードマネージャーにアカウント復旧コードを保存していたことを思い出した。復旧コードは「高度なセキュリティオプション」から「復旧コード」を選択することで取得できる。このコードがあればアカウントを復旧できたはずだが、30日後にしか復旧できなかった。
「なぜハッカーに新しいアカウントを確保するために30日間の通知を与えたり、緊急時に自分のアカウントにアクセスできるようになるまで30日間待ったりする必要があるのか?」と彼は言う。
第二に、彼の話は広く拡散され、Microsoft Identity担当バイスプレジデントのアレックス・シモンズ氏によって発見され、今朝Twitterで反応が見られました。「本当に申し訳ありません。お詫び申し上げます。詳細を報告していただき、ありがとうございます。チームが調査を行いました。最近のリグレッションが原因でした。修正プログラムを展開中です。一晩中に全世界で公開されます。サポートエクスペリエンスについてもデバッグと修正を行います。」
バグは修正され、ギズドフ氏によるとログインは可能になったという。しかし、システムはまだバグを抱えており、例えばパスワードレスログインを設定しようとすると「現在、お使いの携帯電話に通知を送信できませんでした」といったエラーが表示される。「まさに狂気のループです」と彼は言う。
彼はサポート体験についてどう思っているのだろうか?「マイクロソフトのサポートは、支援を拒否し、あらゆることを否定するように訓練され、その基準を満たしている。個人からの新たな報告さえも、明確に聞かない」と彼は語る。
全く意味が分かりません。しかし、サポート担当者が彼のバグ報告を受け付けず、解決にも協力しなかったことを思い出してください。「バグは必ず発生します。問題は、彼らがどのように対処するかです」とギズドフ氏は言います。「問題に対処できる人に私の投稿を見てもらえるには、Hackernewsで私の投稿が人気だったという幸運に頼るしかありませんでした。」
マイクロソフトアカウントが無料サービスとして扱われていることも問題の一つでしょうか?「そうだと思います。マイクロソフトの多くのサービスに料金を支払っているにもかかわらず、個人アカウントがすべて無料扱いされていること、そしてその上、問題に対処する専門チームが存在しないことが問題の一つです」と彼は言います。
- IT大手は、MicrosoftアカウントからHunter2のパスワードを削除する時期が来たと述べている
- マイクロソフト、多要素認証にSMSや音声通話は利用しないよう警告:SIMスワップできないものを試そう
- COVID-19セキュリティのヒント:従業員を解雇する際は、ITアクセスを有効にしたままにしないことをセキュアワークスが推奨
Microsoftは他の企業よりも悪いのでしょうか? 最も近いのはおそらくGoogleアカウントでしょう。ただし、私たちの経験では、一般ユーザー向けアカウントの場合、GoogleよりもMicrosoftの担当者に連絡する方が簡単です。「GoogleはMFAに関する全体的なポリシーが優れており、より現代的な手順を採用しているため、ユーザーがそのような状況に陥る可能性は低いと思います」とギズドフ氏は言いますが、これはあくまでも個人的な意見だと付け加えています。
マイクロソフト自身は認証に携帯電話を使うことを推奨していないにもかかわらず、自社の消費者向けシステムはユーザーに携帯電話を使うよう促していると、彼は指摘する。「GSMと携帯電話のシステムは、セキュリティ脅威の増大に対応できていないため、本質的に安全ではない」と彼は言う。
ギズドフ氏は、「(マイクロソフトは)責任を負わず、すべて私の責任だと主張している。サービス料を支払い、企業と契約を結ぶ以上、そのサービスを提供する責任は企業にあると私は信じている。マイクロソフトはサービスを提供できなかったのだから、責任を負うべきだ」と憤慨している。
彼はMicrosoftアカウントを使い続けるだろうか?「はい、使い続けます。残念ながらMicrosoftは巨大で、あらゆるところに浸透しているので、今ではMicrosoftアカウントなしでやっていけるITプロフェッショナルはほとんどいません。」しかし、彼は他の人に「アカウント回復コードを作成し、安全に保管する必要がある」とアドバイスしている。
この問題はアイデンティティプロバイダにとって難しい問題だ。アカウントの回復が簡単すぎるとハッカーに利用されてしまう恐れがあり、人間によるサポートの提供には費用がかかるからだ。しかし、ギズドフ氏の経験上の要因が許されるわけではない。
Simons氏はまさに適切な人物であり、修正のスピードは実に印象的でした。しかし、「サポート体験」のデバッグという問題はより大きな課題であり、Gizdov氏ほど専門知識のない人や、ソーシャルメディアで不運な人など、未解決の問題を抱えている人が他にもいます。®
