多要素認証（MFA）とは？概要をわかりやすく 多要素認証と二要素認証（2FA）の違い多要素認証と多段階認証の違い 多要素認証の重要性と利点 パスワード認証をめぐるリスクや脅威認証情報の窃取（フィッシング、スティーラーなど）ブルートフォース攻撃（総当たり攻撃）リスト型攻撃 多要素認証の種類 SMSコード認証アプリ生体情報ハードウェアトークンセキュリティキー 多要素認証の導入が特に重要なアカウントやサービスの例 多要素認証の課題 FIDO認証 最後に 多要素認証（MFA）とは？概要をわかりやすく多要素認証とは、IT機器やWebサービスの利用時の認証に、以下の3要素のうち2つ以上を用いる認証方法のことを言います。例えば従来のようなパスワードによる認証は、要素①に該当します。なお、英語では「Multi-Factor Authentication」と呼ばれるため、各単語の頭文字を取った「MFA」とい

内閣サイバーセキュリティセンター（NISC）は7月から体制を強化する。人員をほぼ倍増し、幹部ポストを新設する。サイバー攻撃を未然に防ぐ「能動的サイバー防御」の導入を見据え、円滑に対応できる体制を先行して築く。新たに事務次官級で1つ、局長級で2つ、幹部職員の数を増やす。トップを務める鈴木敦夫内閣官房副長官補を支える。常勤の人数も2倍の200人近い規模にする。体制を強化したうえで、夏から政府シス

便利なサービスを悪用する犯罪 「短縮URL」をご存知だろうか。その名の通り短縮されたURLのことで、正規のURLの文字数を減らして変換するサービスとして、短縮URLが利用されている。 正規のURLを短縮URLのサービス上に登録すると、そこで短縮URLが発行される。そして双方のURLが、サービス上のデータベースに登録されることになる。その後に短縮URLを入力すると、正規のURLがブラウザーなどに通知され、そこから正規URLにアクセスするようになっている。 このサービスを使うメリットのひとつとして、SNSなどに投稿したいURLの長さを短縮することが可能なことが挙げられる。SNS上での文字数制限に際してより多くの文字数を使えるだけでなく、投稿の見た目も良くなると感じる人もいるだろう。 一方で、問題点もある。まず、URLが短縮されることで、どのようなサイトにリンクされているかわからなくなってしまう

広島県は6月19日、県主催セミナーの事務局メールアカウントへの不正アクセスについて発表した。 これは同県が主催する「人的資本経営推進セミナー」の事務局が管理するメールアカウントに外部から不正アクセスがあり、6月13日午前6時4分から7時7分の間、事務局メールアドレス（info＠jinteki-hiroshima.jp）から大量のスパムメールの配信が発生したというもの。午前7時17分にサーバが異常を検知し、サーバ機能によりメールアカウントのパスワードを強制変更しており、9時には事業委託先の株式会社三晃社広島支社が不正アクセスを確認している。

デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト（ペンテスト）」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました！（そんな日は来ていない😇） そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか？ 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の２パターンのいずれかが原因となっているようです。 １．表示設定で「結果の概要を表示する」が有効に設定されている ある

「今年度中にVMware製品から移行してほしい」――。仮想化環境の構築・運用を担うITベンダーのA社の社員は、顧客からこう言われて頭を抱えている。これまで使っていなかったVMware以外の製品の知識や運用ノウハウを学ぶため、「移行先のハイパーバイザーに詳しい協力会社を探している」と話す。 米Broadcom（ブロードコム）によるVMware製品ライセンスの変更によって大幅な値上げに直面したユーザー企業が、「脱VMware」を検討し始めている。ITベンダーは顧客からの問い合わせに追われている状況だ。 ハイパーバイザーの観点で見れば、「VMware ESXi」の移行先は大きく3種類ある。Windows Server標準の「Hyper-V」、Linux標準の「KVM」、米Nutanix（ニュータニックス）の「Nutanix AHV」だ。ただし仮想化環境の構成要素はハイパーバイザーだけではない。運

「監視、分析、時々棚卸し」をモットーにせよ　ホワイトハッカー流IT資産保護のススメ：ITmedia Security Week 2024春　イベントレポート（1/2 ページ） 「IT資産の保護は『監視、分析、時々棚卸し』をモットーにせよ」――ホワイトハッカーの守井浩司氏がエンドポイントセキュリティ保護のポイントと実践的な対策のステップを語った。

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月25日、「Operation Blotless攻撃キャンペーンに関する注意喚起」において、環境寄生型(LOTL: Living Off The Land)戦術を用いるサイバー攻撃キャンペーン「Operation Blotless」に対し、注意を喚起した。2023年から日本の組織を狙う攻撃活動がみられるという。 JPCERT/CCは中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」による同種の攻撃を例に、短期および中長期の対策を提示している。 Operation Blotless攻撃キャンペーンに関する注意喚起 「Volt Typhoon」の特徴 Volt Typhoonは中国の敵と

岐阜薬科大学は6月26日、Googleフォームで作成していたオープンキャンパスへ参加申込みフォームの設定ミスにより、他の申込者の情報の一部を閲覧できる状態だったと発表した。対象は320人。 加えて、この件の謝罪メール送信時、BCCに設定すべきメールアドレスを宛先に設定してしまい、23人のメールアドレスが漏えいしたという。 申し込みフォームの設定ミスで漏えいした可能性があるのは、6月21日までにオープンキャンパスに申し込んだ320人の名前、電話番号、高校名。それぞれの情報はひも付けられていない。 Googleフォームで申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報の一部を閲覧できる状態になっていた。申込後にリンク先に表示され、閲覧可能だったのは最大100人分という。 さらに、この件を報告・謝罪するメールを320人に送信し、1回目に送信できなかった23人

「今年度中にVMware製品から移行してほしい」――。仮想化環境の構築・運用を担うITベンダーのA社の社員は、顧客からこう言われて頭を抱えている。これまで使っていなかったVMware以外の製品の知識や運用ノウハウを学ぶため、「移行先のハイパーバイザーに詳しい協力会社を探している」と話す。 米Broadcom（ブロードコム）によるVMware製品ライセンスの変更によって大幅な値上げに直面したユーザー企業が、「脱VMware」を検討し始めている。ITベンダーは顧客からの問い合わせに追われている状況だ。 ハイパーバイザーの観点で見れば、「VMware ESXi」の移行先は大きく3種類ある。Windows Server標準の「Hyper-V」、Linux標準の「KVM」、米Nutanix（ニュータニックス）の「Nutanix AHV」だ。ただし仮想化環境の構成要素はハイパーバイザーだけではない。運

個人情報が漏えいした場合に義務づけられている国への報告について、政府の個人情報保護委員会は、十分な対策を取っている企業などの負担を軽減するため、報告の期限を延長する方向で検討することになりました。 企業や自治体などに個人情報の漏えいがあった場合、おおむね5日以内に政府の個人情報保護委員会に報告する義務がありますが、経済界などからは、短時間で報告書をまとめるのは負担が大きいといった声が出ています。 こうした中、個人情報保護委員会は27日、個人情報保護法の見直しに向けた中間整理を行い、公表しました。 この中では、個人情報が漏えいした場合に、本人への通知を速やかに行い、原因究明の体制も整っているなど十分な対策を講じている企業などについては、自主的な取り組みで改善が見込まれるとして、おおむね5日以内としている報告期限を、30日以内に延長する方向で検討するとしています。 これにより、企業などにとって

デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト（ペンテスト）」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました！（そんな日は来ていない😇） そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか？ 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の２パターンのいずれかが原因となっているようです。 １．表示設定で「結果の概要を表示する」が有効に設定されている ある

レポートについて 本レポートでは、2023年度（2023年4月から2024年3月）に観測された、日本の組織から機密情報（個人情報、政策関連情報、製造データなど）を窃取しようとする攻撃キャンペーンの分析結果について注意喚起を目的として記載しています。 攻撃のタイムラインと攻撃が観測された業種 2023年度は、昨年度までの攻撃1と比較して新たな攻撃グループが多く出現しています。Barracuda ESGのCVE-2023-2868脆弱性攻撃から組織に侵入したUNC48412攻撃グループ、RatelS3遠隔操作マルウェアでインフラ関連組織を標的に攻撃を行ったTELEBOYi攻撃グループ4、BLOODALCHEMY5 6遠隔操作マルウェアで製造関連組織を標的に攻撃を行ったVapor Panda攻撃グループ7、Ivanti社のCVE-2023-46805/CVE-2024-21887脆弱性を攻撃して

JPCERT-AT-2024-0013 JPCERT/CC 2024-06-25 本注意喚起の公開直前に、国内組織のサイバー攻撃被害に関する報道が出ていますが、本注意喚起との関係はありません。 I. 概要2023年5月に重要インフラなどを狙う「Volt Typhoon」の攻撃活動が公表されて以来、Living off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動に対して警戒が高まっています。JPCERT/CCでは2023年から日本の組織も狙う同様の攻撃活動（Operation Blotless）を注視しており、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えていますが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点

健康福祉部の事業「はつらつ健幸ポイント」の実施について、宇部市と委託契約を締結している株式会社タニタヘルスリンク（以下、「THL」という。）が、一部の参加者に対し、個人情報が含まれる文書を誤送付した事案が発生しました。 対象となる皆様には、大変なご迷惑をおかけし、深くお詫び申し上げます。 概要 令和6年6月18日（火曜日）、はつらつ健幸ポイントの全参加者5,479人に対し、令和5年度に獲得されたポイント等の活動レポートや景品を郵送。 6月21日（金曜日）11時40分、書類を受け取った参加者から問い合わせがあり、同封されていた「お知らせ文書」に、別人の情報が記載されていることを確認。 その後も同様の問い合わせが続き、同じ事象が複数件発生していることが判明。 経緯 ・11時40分、市民から市への問い合わせにより事象判明。 ・THLに調査を指示。 ・15時50分、市で複数の事象が確認されており、

山口県宇部市が行っている健康づくりの事業で個人情報が漏えいしたことが分かりました。健康づくりに取り組むとポイントがたまり景品と交換できる「はつらつ健幸ポイント」事業で確認されました。市が委託している…

2024年6月に始まった所得税・住民税の定額減税を巡り、複数の政令指定都市の事務処理で相次いで誤りが判明している。堺市は約2200人、川崎市は9927人、さいたま市は4343人に誤った税額などを記載した納税通知書を発送していた。 3市はいずれも税務情報システムに富士通Japanの「MICJET税務情報」を利用している。堺市では2024年6月6日に住民からの問い合わせで誤記載が発覚し、13日に公表した。堺市の誤記載の発覚を受けて、同じシステムを利用している川崎市やさいたま市でも誤りが発覚した格好だ。 富士通はMICJET税務情報を導入している具体的な自治体数について「回答を控える」として明らかにしていない。「導入している自治体へ個別に連絡をしている」（富士通）という。 3市とも公的年金からの特別徴収が発生する場合を対象に、納税通知書の税額などに記載の誤りがあった。ただし詳細な内容を見ると、堺