最近、某ファイル共有サービスの情報漏洩が問題になっていますね。

ユーザーIDにメールアドレスを利用するケースは多々あると思いますが、利用者側からするとアカウント名を忘れにくい反面、外部で容易に入手される情報であることは間違いありません。

会社のメールアドレスなんて、名刺に書いて配ってるわけですから。

そのユーザーIDとパスワードの組合せが漏洩したとなると。。。

しかも考えたくはないですが、もしも、万が一にも、会社のアカウントと同じパスワードを設定していたとしたら。。。

 

Office 365 のユーザーIDは、会社のメールアドレスではありませんか？

気付かぬ間に、なりすまされて侵入されているかもしれません。

まさに IdP が威力を発揮し、アラート「高」が多発しそうな状況です。

 

もちろん、賢明な企業さんでしたら、MFA（多要素認証）をかけていれば、万が一正しいパスワードでログインされても、二要素目の認証許可を求められたところで、拒否できますし、アタックされたことも分かるはずですが。

 

ただし、ユーザーが惰性で「許可」してしまわない事を祈るのみです。