多要素認証 (MFA) エンロールの仕組みを悪用し、MFA を有効にした組織のアカウントを攻撃者が入手する手法をセキュリティ企業 Mandiant が解説している (Mandiant のブログ記事、 Neowin の記事、 On MSFT の記事)。 MFA を破る手法の一つに、ユーザー名とパスワードを知る攻撃者が MFA のプッシュ通知を送り続けてユーザーが許可してしまうのを待つという方法が知られるが、Microsoft は一致する数字を入力させることによる対策をロールアウトする計画だ。一方、最近増加傾向のみられる MFA エンロールの仕組みを悪用する手法では、初回ログイン時の MFA エンロールを可能にした組織で作成されたまま使われていない休眠アカウントを狙う。こういったアカウントのユーザー名とパスワードを何らかの方法で入手してログインすれば MFA のエンロールも可能となるというわけ