The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register
headless 曰く、Microsoft では Microsoft Authenticator に対するパスワードレスおよび多要素認証 (MFA) リクエストについて、怪しいリクエストの場合に通知のポップアップを抑制する機能のロールアウトを 9 月末までに完了したそうだ (Microsoft Entra (Azure AD) Blog の記事、 Neowin の記事、 Ghacks の記事)。 これにより 600 万件以上の怪しい通知が防がれており、その大半はハッカーによるもので、顧客にとって価値のないものだったという。これにより、大量の MFA 通知でユーザーが誤ってリクエストを承認することを狙った MFA 疲れ攻撃を阻止したとのこと。 さらに現在では、いつもと違う場所やその他の異変を示す要素を含むなど潜在的リスクのあるリクエストの通知表示抑制も開始しているそうだ。通知表示が抑制されて
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
2023年4月28日 三菱UFJニコス株式会社 JCA(日本クレジット協会)にて公表されている「クレジットカード・セキュリティガイドライン(以下ガイドライン」)」に記載があるとおり、PINバイパス(暗証番号入力をスキップし、サインにて本人認証を行う取引)は2025年3月をもって原則廃止となります。弊社は安全なクレジットカード取引をご提供するため、ガイドラインに記載のとおり、既存のICクレジット決済端末を、2025年3月までにPINバイパスを許容しない設定へと順次変更を行っていく予定ですので、何卒ご理解賜りますようお願い申しあげます。 なお、レストランにおけるテーブル決済等、お客様にご移動いただく事が難しいお取引先様におかれましては、持ち運びが可能なモバイル端末への置換えをご案内いたしますので、弊社営業担当者、または下記の加盟店デスクへご連絡下さいますようお願いいたします。 電話でのお問い合
GoogleがGoogleアカウントやデバイス間で2段階認証システムコードの同期を可能にした「Google Authenticator v4.0 for iOS」をリリースしています。詳細は以下から。 Google Identity and Securityチームのプロダクトマネージャーを務めるChristiaan Brandさんは現地時間2023年04月24日、RSAConferenceの開催に合わせ同社が2010年からiOS/Android向けに開発&公開している「Google Authenticator (Google 認証システム)」の最新バージョンとなる「Google Authenticator v4.0」アップデートをリリースし、新たにGoogleアカウントで2段階認証用のワンタイムパスワード(OTP)コードの同期に対応したと発表しています。 Good things come
Twitter が青い「認証済みバッジ」を販売して、誰でも「認証済みアカウント」になれる施策を実際にスタートしました。 従来は著名人や企業などの「公式アカウント」の印だった認証済みバッジが本人確認なしで手に入るようになり、「認証済みアカウント」が激増中です。 有料の認証済みバッジは、月8ドルで加入できるサブスクリプションTwitter Blue の特典扱い。他のアプリやサービスでよくある、本職でなくても「PRO」のような、課金ユーザーの印になっています。 しかし加入時に本人確認やプロフィールの真贋をチェックする仕組みはないため、偽アカウントが「認証済みアカウント」として青いバッジをつけることもできます。 この「認証済みバッジ」有料化は、Twitterを買収して新CEOに就任したイーロン・マスク肝いりのプラン。 Twitterのエンジニアは同僚が大量解雇されるなか、突貫工事でサービス開始にこ
Twitter が iOSアプリを更新し、有料プランTwitter Blueの特典に「青いチェックマーク」を追加しました。 従来は著名人や企業、ジャーナリストなど、成りすましの害が多いアカウントに対して本人確認の証として付与していた認証マークが、月に8ドルのTwitter Blue に加入すれば誰でも持てるようになります。 iOS版Twitterアプリのアップデート内容(英文)によれば、 Get Twitter Blue for $7.99/month if you sign up now Blue checkmark: Power to the people: Your account will get a blue checkmark, just like the celebrities, companies, and politicians you already follow. (
本社前で段ボール箱を抱えて「いまクビになりました」コスプレをしたいたずらが「データエンジニア全員解雇」報道になったり、「社員の75%を10月中に解雇」のうわさが流れては否定されるなど、イーロン・マスクによる買収成立で騒がしい Twitter 界隈の話題。 今度はイーロン・マスクが社員に対して「現在は月4.99ドル(約740円)の Twitter Blue を月20ドル(約3000円)に値上げし、認証マークをサブスク特典とせよ」「11月7日までに間に合わなければ解雇」と通告した、との未確認情報が出回っています。 (更新:イーロン・マスク本人が認めました。Twitterの認証マーク課金に作家キング「むしろお前らが私に払え」、イーロン・マスクは「8ドルなら?」と答え事実と認める イーロン・マスクが月8ドルの新生Twitter Blue有料プランを解説) 例の地味ハロウィン二人組を大手メディアが真
NTTドコモは8月23日、「ドコモメール」に、送信ドメインによる認証技術「DMARC」「DKIM」を導入した。なりすましメールなどをより高精度に判別し、フィッシング詐欺による被害などを低減する目的。 DMARCは、メールヘッダに含まれる送信ドメインを認証する技術。DKIMはDMARCの認証手段だ。これらの技術により、企業の公式アカウントから送信された正規メールと判定できたメールには、公式アカウントマークを表示する。 ドコモメールは2021年から、送信ドメイン認証技術「SPF」を採用。SPFにより公式アカウントから送信されたメールと判定できた場合に、公式アカウントマークを表示してきた。 ドコモメールの「迷惑メールおまかせブロック」「詐欺/ウイルスメール拒否」「ドコモメール公式アカウント」機能(それぞれ無料)を通じてユーザーに提供する。各サービスは、新規契約時に自動で適用されている。 関連記事
ack.ioさんのツイートによれば、Googleで「楽天トラベル」を検索すると、楽天トラベルそのものに見えるといった偽装サイトの広告が増えているそうだ。同氏がリンク先をクリックするとxyzというドメインのサイトに繋がった。しかしリンク先のサイトのデザインは楽天トラベルそのものとなっており、間違って契約してしまう可能性もあると指摘している。同氏によれば、同じデザインでドメイン違いのものが数多く出回っているようだ(Togetter)。 またTogetterのまとめによれば、「楽」と「天」の間に半角スペースを入れることにより、Google広告のチェックをすり抜けているといった指摘も出ている。Google公式の広告リンクであることから、ドメイン関係のチェックをあまりしない傾向のあるスマートフォン世代などが間違って契約してしまう可能性もあるかもしれない。楽天側もこうした偽装サイトに対する警告は出して
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
【8月31日 CGTN Japanese】9月1日より、北京市を含む28都市でデジタル運転免許証の使用が促進されます。デジタル運転免許証は紙の運転免許証と同様の法的効力を持ち、全国で有効です。運転者がデジタル運転免許証を提示した場合、紙の運転免許証と照合することはありません。運転者はデジタル運転免許証を提示することで、車両管理、運転管理業務、交通違反や交通事故の処理などが可能で、紙の運転免許証を提示する必要はありませんが、免許証を没収する必要がある場合には、紙の運転免許証を提出しなければなりません。デジタル運転免許証はその外、交通運輸、保険、自動車リースなどにも使用できます。 デジタル運転免許証は正・副2ページから成っており、うち、正ページには主に運転免許証の基本情報、証明書の生成時間、情報を検証するための二次元コードと一次元コード(バーコード)などの内容が含まれ、副ページには主に運転者の
iOS 15、2段階認証のコード自動生成機能が内蔵されました #WWDC212021.06.08 05:5013,210 塚本直樹 もうグーグルに頼らない。 今回は内容盛りだくさんなWWDC21でしたが、そこでは発表されなかった機能もあります。たとえば、iOS 15に内蔵された2段階認証機能です。 現在インターネットでは安全性を確保するために、パスワード以外の2段階認証の利用が盛んになっています。そしてiOS 15ではこの2段階認証のためのコードを生成する機能が内蔵されたのです。 機能の利用は設定アプリの「パスワード」から利用できます。また、一度設定すれば、サイトにサインインした際には自動で認証コードが入力されます。 これまで2段階認証のコードは「Google Authenticator」のようなサードアプリを利用するのが一般的でしたが、iOS 15ならそのようなアプリをダウンロードしなく
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く