パスワードのみの認証ではセキュアではない認識が高まり、多要素認証（MFA）の導入が増える動向にあるものの、それに対して「MFA 疲労攻撃（MFA fatigue attacks）」（別名、MFA スパム）の報告が増えているそうです。
以下の日本語ブログでは、説明と対策設定について画面付きで丁寧に解説されています。
Microsoft Authenticator の MFA 疲労攻撃対策 | Japan Azure Identity Support Blog

 

要約すると、
MFA 疲労攻撃とは、攻撃者が何度も MFA 要求を発生させることで、ユーザーがうっかり承認してしまう事を狙ったものです。
あくまでも前提として、すでに攻撃者がそのユーザーのパスワードを把握している場合になります。

 

現在の MFA では、電話応答にせよ、Authenticator でのサインイン承認応答にせよ、どのサインインに連なる MFA 要求かが判りません。
（これは私も以前から気持ち悪さを感じていました。）

よって、突然のポップアップにうっかり承認してしまったり、タイミングによっては自分と攻撃者が行っているサインインの MFA 要求の見分けがつかず、承認してしまう危険性があるのです。

 

対策として、３つの方法が提示されています。

1.  Microsoft Authenticator の「プッシュ通知に番号の一致が必要」を有効化（2022年10月時点でプレビュー機能）
   ・ サインイン画面に２桁の番号が表示され、Authenticator 側でその番号を入力して承認
   ・ 数か月後、一般公開されたら自動的に有効になる予定
   
   
2.  Microsoft Authenticator の「プッシュ通知とパスワードレス通知に地理的な場所を表示する」機能を有効化（2022年10月時点でプレビュー機能）
   ・ Authenticator に、アクセス先のアプリケーション名とアクセス元の位置情報が（地図付きで）表示される
   ・ MFA 承認には、数字入力も要求される
   
   
3.  Azure AD Identity Protection 機能の活用
   ・馴染みのない場所から繰り返されるサインインなどを検知し、ユーザーリスクが高まった場合にはパスワード変更を促す

 

１と２はプレビュー機能ですが、リスク低減のためには有効な手段と思われます。