最近、某ファイル共有サービスの情報漏洩が問題になっていますね。
ユーザーIDにメールアドレスを利用するケースは多々あると思いますが、利用者側からするとアカウント名を忘れにくい反面、外部で容易に入手される情報であることは間違いありません。
会社のメールアドレスなんて、名刺に書いて配ってるわけですから。
そのユーザーIDとパスワードの組合せが漏洩したとなると。。。
しかも考えたくはないですが、もしも、万が一にも、会社のアカウントと同じパスワードを設定していたとしたら。。。
Office 365 のユーザーIDは、会社のメールアドレスではありませんか?
気付かぬ間に、なりすまされて侵入されているかもしれません。
まさに IdP が威力を発揮し、アラート「高」が多発しそうな状況です。
もちろん、賢明な企業さんでしたら、MFA(多要素認証)をかけていれば、万が一正しいパスワードでログインされても、二要素目の認証許可を求められたところで、拒否できますし、アタックされたことも分かるはずですが。
ただし、ユーザーが惰性で「許可」してしまわない事を祈るのみです。