セキュリティの
学び場

今回の解説ニュース

マイクロソフト製品で使われているBasic認証の無効化期限が3か月延長されたということです。マイクロソフトからは12月末までに別の認証へ移行するよう求められています。Basic認証の仕組みや、Basic認証が抱えるセキュリティリスクについて説明します。

今回、マイクロソフトは、Exchange Online でまだBasic認証が無効化されていないプロトコルについて、10月1日から無効化を開始するとユーザーに伝えています。すでに何百万人ものユーザーがBasic認証から移行している一方で、多くのユーザーがまだBasic認証を使用し続けているということです。なお、マイクロソフトは、3年前に自社ソフトウェア製品について、Basic認証から、より近代的で安全なユーザー認証方法への移行を開始することを発表しています。

マイクロソフトはブログの投稿で、「メールは多くのお客様にとってミッションクリティカルなサービスであり、その多くのお客様に対して Basic 認証をオフにすることは潜在的に大きな影響を与える可能性があると理解している」ため、3か月の再有効化を追加して計画を修正したとも書いています。また、この変更について知らない、あるいは準備ができていない顧客のために、計画を修正しているとも述べています。なお、2023年1月の第1週目には、Basic認証はすべてのプロトコルで、永久にオフになるということです。

「Basic認証」とはどのように使われてきたものなのか

Basic認証とは、主にWebサーバで使われている認証方法の一つです。Webサーバに実装するのが簡単であることや、多くのWebサーバやブラウザで対応していることから広く使われている一方で、認証情報を盗聴されやすいというセキュリティ上の問題点を抱えています。

例えば、Aさんがホームページを作成していたとします。特別な設定をしていない場合、各ページのURLが分かれば、すべての人が見ることができます。そのため、開発中だったり、何らかの理由で一時的に非公開にしたかったりする際に、Basic認証が使われることが多いようです。また、Basic認証が使われる理由として、実装の容易さが挙げられます。

認証と呼ばれる機能をWebアプリケーションで実装する場合、ソースコードを編集して開発をする必要があります。Webアプリケーションを開発をするということは、脆弱性が作りこまれないように、セキュリティにも気を付ける必要があります。よって、今すぐ認証をかけたいと思った際に、対応できない場合があります。

Basic認証はWebサーバの機能として提供されていますので、AさんはWebアプリケーションを開発をする必要がありません。Webサーバに脆弱性が存在するバージョンのソフトウェアを使っていなければ、Aさんは認証情報が書かれた「.htaccess」というファイル名のテキストを制限をかけたいディレクトリに置くだけで、特定のURLにBasic認証をかけることができます。

Basic認証はなぜ無効化の動きなのか？使い続けるリスクについて

Basic認証は、一般的に認証情報を盗聴されやすいと言われています。理由として、認証情報の保存のされ方が挙げられます。

AさんがBasic認証を求めるWebサーバにアクセスした場合、認証した情報はAさんのブラウザに保存されますので、そのページへアクセスするたびにユーザ名とパスワードがWebサーバへ送信されます。Webアプリケーションで実装される一般的な認証では、認証した情報はサーバに保存されますので、認証情報が有効な期間は、再度ユーザ名とパスワードを送信する必要はありません。

認証情報はHTTPSで暗号されていることが多いと考えられますが、送信される機会が多いということは、相対的にユーザ名とパスワードの盗聴されるリスクが高いと考えられます。その他にも、Basic認証には様々な問題があることから、簡易的なアクセス制限には使えるものの、恒久的にユーザを識別するための認証機能として使うことには不向きであるとされています。

今回は、Basic認証の仕組みや、Basic認証が抱えるセキュリティリスクについてお届けしました。今回のマイクロソフト製品に限らず、WebサーバでBasic認証をお使いの方がいらっしゃれば、期待するセキュリティレベルとBasic認証の機能が見合っているか、これを機に見直してみてはいかがでしょうか。