多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について
NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの桐下です。 今回のブログでは、Pass-The-Cookieという攻撃手法について紹介します。Pass-The-Cookieは、多要素認証をバイパスすることが可能な強力な攻撃です。Office365(Microsoft365)を対象にデモを交えながら攻撃手法を紹介します。 Pass-The-Cookieとは、WebアプリケーションのセッションCookieを攻撃者が何らかの手段で入手し、セッションCookieを悪用して認証をバイパスする攻撃手法です。有効なセッションCookieをブラウザに投入するだけでWebアプリケーションにログインすることが可能です。セッションCookieは、ログイン成功状態を保持しています。そのため、セッションCookieを入手し、ブラウザに投入することでID/Password認証及び多要素認証要求をバイパ
システムの穴をつくフィッシング詐欺の手口と対策 『二段階認証』も鉄壁ではない?
インターネットにまつわるさまざまなスマホトラブルや、世間を騒がせているネット詐欺の手口や事例を解説し、セキュリティに関する疑問や対策について答える本連載。第5回は「二段階認証」を突破するフィッシング詐欺の手口についてのお話。 セキュリティを強化する二段階認証 「二段階認証」とはIDやパスワード入力のほかに、セキュリティコードの入力などを追加することで、第三者の不正アクセスを防止する仕組みのこと。現在、主要なサービスで取り入れられており、セキュリティ強化のためには不可欠なシステムといえる。 ところが、最近は巧妙な手口でこの二段階認証を突破するフィッシング詐欺の手口があるのだという。それは一体どのような手法で、我々はどんな対策を取ることができるのか? KDDIで不正利用対策を専門に行う「セキュリティ先生」こと、UX・品質向上推進部の新井 契(ひさし)にTIME & SPACE編集部が話を聞いた
注意深い自分が…一瞬で奪われた1千万円 銀行は「返却できません」:朝日新聞デジタル
1千万円をだまし取られた千葉県北部に住む50代の男性は、力なく笑った。「墓参りに行こうと思ったけど、さすがに行けないですよ。何を言えばいいんだろうって」。亡くなった母親から、死亡保険金として相続したお金だった。 7月中旬の金曜日。床屋に行った後、自宅に戻ってパソコンを開くと1通のメールが届いていた。 《重要:【A銀行】お取引目的等の確認のお願い》 本文を読むと、「直近の取引について、いくつかの質問がございます。下記のリンクをアクセスし、ご回答ください」とあった。 他の銀行からネット銀行のA銀行の口座に1千万円を移したばかりだった。「だから(連絡が)来たのかな」。疑問は抱かなかった。 指定されたリンクをクリックすると、A銀行のいつもと同じログイン画面が表示された。パスワードを入力し、アンケートに答えた。そのまま、1回ごとに使い捨てる「ワンタイムパスワード」も打ち込んだ。 約20分後、新たなメ
Google Chrome、南京錠アイコンを2023年9月に廃止
Google Chromeチームは5月2日(米国時間)、「Chromium Blog: An Update on the Lock Icon」において、2023年9月にリリースを予定している「Google Chrome 117」からアドレスバーにおける南京錠アイコンの表示を廃止すると伝えた。代わりに「調整」を意味するアイコンを表示すると説明している。 Chromium Blog: An Update on the Lock Icon アドレスバーの南京錠アイコンはWebブラウザがHTTPSで通信を行っていることを示すものとして導入された。通信の多くがHTTPで行われていた時代、傍受を防ぎやすいHTTPSが使われていることを示すために南京錠のアイコンが導入された。導入当初このアイコンは役割を果たしたが、現在この意味は失われはじめていると点をGoogleは指摘している。 Googleは次の2つ
安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
覚えがないGoogleの「セキュリティ通知」が届いたら
