核融合科学研究所ではMicrosoft 365 for Education A3を契約し,認証方式にSMSなどを用いた多要素認証を必須としている.2021年12月に利用者からNIFS-CSIRTに対し中国語の意図せぬマイクロソフトの認証コード通知のSMSが着信したとの報告があり,研究所全域に情報提供を呼びかけた結果,認証方式にSMSを設定している利用者の2割以上が意図せぬSMSを受信していたことが判明した.その後,Azure ADログの確認とマイクロソフト社へ問合せの結果,利用者情報の漏洩はないことを確認した.同社からはあわせて,長期的にはSMSなど公衆交換電話網を介在させる認証方式は避けた方がよい旨の助言があった.未だに根本的な原因は不明であるが,本稿では本事案の調査と対応について考察する.
