UTokyo Accountでは,セキュリティ向上を目的として,2021年9月27日から多要素認証を提供しています.このたび,最も多くご利用いただいている本人確認方法である「Microsoft Authenticator」アプリについて,セキュリティ強化のため,2023年2月27日から,以下の通りサインイン時の承認手順が変更となります.
また,多要素認証をはじめとしたセキュリティ上の考慮をしつつ,UTokyo Accountをスムーズにご利用いただけるよう,パスワード有効期間や文字数の変更を行うほか,将来的により高度な本人確認方法を提供することも計画しています.
社会的な情勢の悪化を背景として情報セキュリティ環境も悪化しています.UTokyo Accountのセキュリティを確保することは,利用者個人の情報だけなく,大学が保有する情報資産を守るために非常に重要です.UTokyo Accountの利用者全員に多要素認証の利用を強く推奨しておりますので,まだ利用していない皆様は,この機会に利用を開始していただくようご協力をお願いいたします.利用開始の手順はUTokyo Account多要素認証の利用開始手順をご参照ください.
2月27日から,「Microsoft Authenticator」アプリのサインイン承認手順が変わります
UTokyo Accountでは,多要素認証の本人確認方法の一つとして「Microsoft Authenticator」アプリを案内しています.このたび2月27日から,セキュリティ強化のため,「Microsoft Authenticator」アプリを利用してサインインする際,スマホに送られる通知のアプリ上での承認手順が変更されることになりました.
新しいサインイン承認手順
「Microsoft Authenticator」アプリを利用してサインインする際,これまでは,スマホに通知が送られ,アプリ上でサインインを承認するボタンを押すという手順でした.新しい承認手順では,サインイン後の画面に2桁の数字が表示されて,アプリ上でその2桁の数字を入力するという手順に変わります.
なお,既に「Microsoft Authenticator」アプリを本人確認方法として登録している場合には,承認手順が変わっても現在登録しているアプリを引き続き利用できますので,本人確認方法を登録し直す必要はありません.
また,本人確認方法として新しく「Microsoft Authenticator」アプリを登録する場合には,UTokyo Accountにおける多要素認証の利用についての手順に従って設定してください.
変更の背景
従来の「Microsoft Authenticator」アプリの認証方法は,スマホに通知が送られ,アプリ上でサインインを承認するボタンを押すという方法でしたが,多要素認証の疲労攻撃と呼ばれる攻撃手法が注目されるようになりました.多要素認証の疲労攻撃とは,ユーザーのIDやパスワードを盗んだ攻撃者が多要素認証を突破するためにユーザーの誤操作を狙う攻撃手法です.具体的には,ユーザーが身に覚えのない通知を承認してしまうことや,誤操作によって承認ボタンを押してしまうこと,たまたま攻撃者と同じタイミングで別のサインインを試みているユーザーが誤って攻撃者のサインインを承認してしまうことなどを狙った攻撃手法です.
新しい承認手順は,サインイン画面に表示された数字をアプリに入力する方法になっており,攻撃者の画面に表示される数字を入力しない限り多要素認証が承認されることがないため,疲労攻撃による誤承認のリスクを抑えることができます.
UTokyo Accountのパスワードの有効期間や文字数を変更することを検討しています
現在,UTokyo Accountのパスワードの有効期間や文字数を変更することを検討しています.詳細が決まりましたら,あらためてお知らせいたします.
UTokyo Accountをより安全かつスムーズに利用できる取り組みを進めます
UTokyo Accountを安全かつスムーズにご利用いただけるよう,改善の取り組みを継続的に進めていきます.その一環として,数ヶ月後を目安に,より高度な本人確認方法として,FIDOセキュリティキーを利用可能にする計画です.詳細な日程や利用方法が決まり次第,あらためてuteleconポータルサイトにてお知らせします.
UTASおよびITC-LMSのメンテナンス
UTokyo Accountサインインに関するシステムメンテナンスの実施のため,以下の時間帯のうち短時間,UTASやITC-LMSがご利用いただけなくなります.時間をずらしてご利用ください.
- UTAS
- 2月21日(火)の18時から20時
- ITC-LMS
- 2月21日(火)の12時から13時