なぜか365アカウントにログインできなくなってしまった?!
管理者アカウントでもログインできないエラーが発生してしまう、助けてください
なぜか365アカウントにログインできなくなってしまった?!
管理者アカウントでもログインできないエラーが発生してしまう、助けてください。
Microsoft 365のアカウントが乗っ取られてしまったようです。復旧への道のりをまとめました。
ある日利用者から「Microsoft 365組織アカウントが使えなくなってしまった」と問い合わせがありました。
弊社の対応によって無事に解決することができましたが、残念ながら、乗っ取りの原因や経緯を確認することは出来ませんでした。
しかし、今回利用者が小さな違和感に気づけたことで、不正利用による金銭的被害などの大きなトラブルの回避につながった好例とも言えます。
近年、アカウントの乗っ取り事案が増えていることから、万が一、皆様が同じような現象に悩まれた際のお役に立てるようサポート事例としてご紹介します。
↓PCトラブルなど社内IT環境にお困りなら↓
利用者のMicrosoft 365アカウントの状況
利用者がMicrosoft 365組織アカウントの不具合に気づいたきっかけは、2週間ほど前からMicrosoftのUpdate通知メールなどが届いていないことでした。
不審に思い色々と調べたところ、Microsoft 365組織アカウントにログインできない状況であることが発覚。すぐに弊社にご連絡いただき、対応することが決定しました。
弊社が最初に行ったのは、利用者のMicrosoft 365組織アカウントの現状把握です。
状況は以下のとおりでした。
- Microsoft 365組織アカウントで独自ドメインを設定済み
- 管理者アカウント、一般アカウント共に「Exchange Online」は未使用
- 一般アカウントのみ「Microsoft 365 Apps for Business」を使用
- 管理者アカウントには2要素認証を設定していたと認識(不確定)
- パソコンにはMicrosoft 365組織アカウントでログイン可能だが、Edgeにはログインできない。また、Officeは使用できるが、びっくりマーク(エクスクラメーションマーク)が表示されている
↓PCトラブルなど社内IT環境にお困りなら↓
ログインできない問題への初動対応
上記の情報をもとにアカウントの状況を確認する中で、幸い残されていた一般アカウントが見つかりました。
ところが、パスワードが不明なためログインができず、パスワードリセットもできない状態でした。
しかし幸いなことに、管理者アカウントに当該アカウントのパスワード変更用メールを送れることが判明。
管理者アカウントにはログインできない状況ですが、管理者アカウントのメールアドレスは独自ドメインで作成していたため、次の方法を試みました。
今回の場合Exchange Onlineは使っていなかったので、レンタルサーバー上で一時的に管理者アカウントのメールアドレスでメールを受信できるように設定。
パスワード変更用のメールを送ったところ、
「自分でパスワードをリセットすることができません。管理者に問い合わせて、自分のパスワードのリセットし、組織の設定を確認する必要があります。」
と表示されました。
つまり、乗っ取った者が新しく管理者アカウントを作成しており、既存の管理者アカウントを使えないとパスワードリセットはできないことが分かりました。
↓PCトラブルなど社内IT環境にお困りなら↓
Microsoft 365アカウントが乗っ取られた原因
今回対象となるMicrosoft 365アカウントは、ログイン時に携帯電話アプリによる2要素認証を設定していました。
そのため、不正ログインがあれば通知が届くはずですが、ここ最近で管理者アカウントのログイン通知などはなかったとのこと。
そのため、Microsoft 365アカウントが乗っ取られたことに気づくのが遅れ、何者かによるアカウントの乗っ取りが実行されてしまいました。
このトラブルの原因をさまざまな方向から確認しましたが、原因は特定できませんでした。
2要素認証だけでは突破されてしまうことが分かったため、今後は少々煩わしくても多要素認証を取り入れることをアドバイスしました。
↓PCトラブルなど社内IT環境にお困りなら↓
Microsoft 365アカウントを取り戻すための対応
状況を把握したところで、Microsoft 365アカウントを復活させるために以下の対応を行いました。
クレジットカードは停止
利用者はMicrosoft 365ライセンスをクレジットカードで購入していましたが、幸い直接的な被害はありませんでした。
乗っ取った後、新たに作成した一般アカウントでサービスを購入しようとしたものの拒否されていたようです。
ですが、万全を期すためクレジットカードは使用停止し、失効手続きを行いました。
Microsoft 365サポートへの問い合わせ
Microsoft365サポートでは、各オペレーターがサポートできる範囲が決まっており、AIが特定の単語に反応して問い合わせ内容を判別します。
オペレーターにつなぐ案件ではないとAIが判断すると、Q&Aサイトに誘導されることも少なくありません。
そのため、何度も根気よく問い合わせ電話をかけ続ける必要があります。
今回も根気強く何度も問い合わせを行い、最終的に2つの窓口から回答を得ることができました。
解約担当のサポート窓口
管理者アカウントの情報が分からないため対応はできないとのことでした。
アカウント管理担当のサポート窓口
状況を説明すると、管理者アカウントを復旧する方向で対応いただけることになりました。
なお、この間にドメインの所有権確認や会社の実在確認なども行ったため、復旧には数日かかりました。
↓PCトラブルなど社内IT環境にお困りなら↓
アカウントを取り戻した後の対応について
アカウントを取り戻した後管理者アカウントの復旧の具体的な流れは次のとおりです。
所有していたドメインのメールアドレスで管理者アカウントを復活
Microsoft 365組織アカウントで使用していた独自ドメインは自身で所有しており、レンタルサーバー上でのメールのやり取りには問題はありませんでした。
ドメインの所有権確認や会社の実在確認なども行い、管理者アカウントの所有者であることが証明できたことで、削除されてしまった管理者アカウントを復旧してもらうことができました。
不正に作成されたアカウントを無効化
復活した管理者アカウントでログインし、不正に作成された管理者アカウントから全ての権限を取り上げ無効化しました。また不正に購入されたライセンスがあったためこちらについてはサポートと交渉の上、無効化処置をしていただきました。
管理権限の変更の禁止など防止策の実施
利用者の管理者アカウントは、多要素認証(MFA)を必須にしました。
この他にも、条件付きアクセス(Conditional Access)の活用や監査ログ(監査ポリシー)の有効化も有効な対策となります。
↓PCトラブルなど社内IT環境にお困りなら↓
どうしても上手くいかない時は
インターネットで検索して色々な方法を試してみたけどうまくいかない…
とげおネットまで
お気軽にご相談ください!!
電話・メールフォームから
お問い合わせください!
▼ ▼ ▼
とげおネットでは
出張サポートにて
お力になれます!
インターネットで検索して色々な方法を試してみたけど上手くいかない場合はとげおネットまでお気軽にご相談ください。出張サポートにてお力になることが可能です。
Microsoft365アカウントが乗っ取られた!復旧まとめ
Microsoft 365に限らず、Google Workspaceなどのクラウドサービスでも、セキュリティ設定は頻繁に更新されることがあります。
その都度、変更点をしっかりと把握し、最適な設定に更新することが大切です。
今回のような事例を教訓として、管理権限や多要素認証の強化など、日々のセキュリティ対策を見直すきっかけになれば幸いです。
その他のサポート事例
とげおネットのその他のサポート事例に関しましては以下のページをご参考ください。
