「娘が通う学校に個人のMicrosoftアカウントが乗っ取られた」との体験談

アメリカに住むソフトウェア開発者のジェフ・ゲーリング氏が、長年使用しているMicrosoftの個人用アカウントが、なぜか娘が通う学校のものになってしまったとブログで報告しました。

My daughter's school took over my personal Microsoft account | Jeff Geerling
https://www.jeffgeerling.com/blog/2023/my-daughters-school-took-over-my-personal-microsoft-account

ゲーリング氏がこの問題に気づいたのは、地元の非営利団体がOffice 365で寄付者へのメール対応を自動化しようとしているのを手伝うため、自分のMicrosoftアカウントにサインインした時のことです。Microsoft Azureのアプリ登録ポータルでアプリを登録しようと「新規登録」をクリックしたところ、アクセス権がないと表示されてしまいました。

不審に思ったゲーリング氏が確認すると、なぜか自分のアカウントが学校のメンバーになっており、これが原因でアプリを新しく登録する権限がなくなっていたことが分かりました。

Microsoftのアカウントには、「個人のアカウント」と「職場または学校アカウント」の2種類があります。ゲーリング氏が、「職場または学校アカウント」になってしまった自分のアカウントを元に戻すためにサインインし直そうとしても、「個人アカウントではサインインできません」と表示されてしまってできませんでした。

このようになってしまった経緯は、記事作成時点では分かっていません。問題のアカウントは、ゲーリング氏が2006年にXbox Liveのアカウントとして作成し、その後2014年にMicrosoftアカウントに移行する際に作成されたもの。それ以来、ゲーリング氏はこのアカウントを個人のアカウントとして使い続けており、他の人とアカウント情報などを共有するドメイン参加をしたこともありませんでした。

ゲーリング氏は、Twitterに寄せられたアドバイスを元に、学校のメンバーから自分のアカウントを除外しようとしました。その結果、ゲーリング氏のアカウントには「Restricted Tenant(制限付きテナント)」と表示され、ゲーリング氏がアクセスできる範囲はさらに狭くなってしまいました。

唯一の手がかりは、アカウントがゲーリング氏の娘の学校と紐付けられていたことです。

しかし、ゲーリング氏が使用しているWindowsマシンは娘の手の届かないところにあるため、娘が勝手に学校の課題などにゲーリング氏のPCを使うことは不可能です。また、ゲーリング氏は学校にアカウントを引き継がせるようなことを許可したこともありません。また、学校がゲーリング氏のアカウントを意図的に乗っ取ったとも考えられません。

そのため、ゲーリング氏は「娘の保護者として学校に提供したゲーリング氏のメールアカウントが、何かの拍子に学校のMicrosoft AzureかActive Directoryに統合されてしまった」と推測しています。ゲーリング氏は、問題を解決しようとMicrosoftや学校に問い合わせている最中とのことです。