Microsoft AuthenticatorAndroid の脆弱性Android CVE-2026-26123)により、ワンタイムサインインコードや認証ディープリンクが、同一端末上の悪意のあるアプリに漏洩する可能性があります。
ディープリンクは、クリックするとウェブまたはモバイルアプリケーション内の特定のアクティビティに直接アクセスできる事前定義されたURI(Uniform Resource Identifier)です。簡単に言えば、アプリを開いてログインなどの操作を完了するために使用される、特別に構築されたリンクです。
Microsoft Authenticatorは、Microsoftおよびその他のアカウント向けに、時間ベースのワンタイムコードを生成し、サインインリンクやQRコードベースのログインを処理するモバイルアプリです。個人所有のスマートフォンにおける多要素認証(MFA)に広く利用されており、企業向けサービスや本番環境サービスへのアクセスを保護するBYOD(Bring Your Own Device)デバイスも含まれます。
この脆弱性は、Android iOS Authenticatorをインストールしているユーザーに影響します。脆弱性が悪用されるには、ユーザーがまずデバイスに悪意のあるアプリをインストールし、その後誤ってそのアプリをサインインのディープリンク処理に選択する必要があります。
その場合、悪意のあるアプリはワンタイムコードやサインイン情報を受け取り、被害者として認証するためにそれを利用する可能性があります。
攻撃が成功した場合、攻撃者は以下のことが可能となる:
- Microsoft Authenticatorコードを信頼するサービスへの完全なログインフローを完了してください。
- 侵害されたアカウントで利用可能な情報およびサービス(電子メール、ファイル、クラウドアプリケーション、またはBYOD環境における生産システム)にアクセスする。
- 同じ端末上の認証アプリで発行されたコードによって保護されている場合、追加アカウントへの切り替えも検討する可能性があります。
安全に過ごすには
CVE-2026-26123の修正は既に現行リリースに含まれているため、更新プログラムのインストールが最も効果的な対策となります。
- iOS:App Storeを開きます。画面上部の「マイアカウント」ボタンまたはプロフィール写真をタップします。下にスクロールして、更新待ちのアプリとリリースノートを確認します。特定のアプリのみを更新するには、そのアプリの横にある「更新」をタップします。すべてのアプリを更新するには「すべて更新」をタップします。
- Android:Google Playストアアプリを開きます。右上のプロフィールアイコンをタップします。「アプリと端末の管理」をタップします。「利用可能な更新」の下にある「詳細を表示」をタップします。更新したいアプリの横にある「更新」をタップします。すべてのアプリを同時に更新するには、「すべて更新」をタップします。
注:お使いのデバイスの製造元がアプリ更新の適用方法として異なる手法を採用している場合、手順が若干異なる場合があります。
アプリを一時的に更新できない場合は、認証リンクの処理、QRコードベースのサインイン、またはWebからアプリへのサインインフローを要求する新規アプリのインストールを避けてください。
QRコードをスキャンしたりサインインリンクをタップする際は、ハンドラーがMicrosoft Authenticatorまたは他の信頼できるアプリであることを確認し、未知のアプリ、最近インストールしたアプリ、またはその他の不審なアプリではないことを確認してください。
可能な限り、更新を適用できるまで、既に信頼している代替の多要素認証(MFA)オプション(パスワード管理ツールの組み込み認証や、Appleのパスワード機能のようなプラットフォーム固有のソリューションなど)をご利用ください。
モバイルデバイスには、悪意のあるアプリを検出するのに役立つマルウェア対策保護機能を使用してください。
私たちは電話セキュリティについて報告するだけでなく、それを提供します。
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐ Malwarebytes foriOS Malwarebytes forAndroidダウンロードして、モバイルデバイスに脅威を持ち込まないようにしましょう。
