多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について
NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの桐下です。 今回のブログでは、Pass-The-Cookieという攻撃手法について紹介します。Pass-The-Cookieは、多要素認証をバイパスすることが可能な強力な攻撃です。Office365(Microsoft365)を対象にデモを交えながら攻撃手法を紹介します。 Pass-The-Cookieとは、WebアプリケーションのセッションCookieを攻撃者が何らかの手段で入手し、セッションCookieを悪用して認証をバイパスする攻撃手法です。有効なセッションCookieをブラウザに投入するだけでWebアプリケーションにログインすることが可能です。セッションCookieは、ログイン成功状態を保持しています。そのため、セッションCookieを入手し、ブラウザに投入することでID/Password認証及び多要素認証要求をバイパ
システムの穴をつくフィッシング詐欺の手口と対策 『二段階認証』も鉄壁ではない?
インターネットにまつわるさまざまなスマホトラブルや、世間を騒がせているネット詐欺の手口や事例を解説し、セキュリティに関する疑問や対策について答える本連載。第5回は「二段階認証」を突破するフィッシング詐欺の手口についてのお話。 セキュリティを強化する二段階認証 「二段階認証」とはIDやパスワード入力のほかに、セキュリティコードの入力などを追加することで、第三者の不正アクセスを防止する仕組みのこと。現在、主要なサービスで取り入れられており、セキュリティ強化のためには不可欠なシステムといえる。 ところが、最近は巧妙な手口でこの二段階認証を突破するフィッシング詐欺の手口があるのだという。それは一体どのような手法で、我々はどんな対策を取ることができるのか? KDDIで不正利用対策を専門に行う「セキュリティ先生」こと、UX・品質向上推進部の新井 契(ひさし)にTIME & SPACE編集部が話を聞いた
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も
「Amazon.co.jpを不正利用された」──X(元Twitter)では9月上旬からそんな投稿が相次いでいる。「Amazonギフトカードを大量購入された」「二段階認証を設定していたのに、それを突破された」などの報告が上がっている。 Xでは「(アカウントに)二段階認証を設定していたにもかかわらず不正アクセスされ、Amazonギフトカードを大量に購入された」と被害を訴える声が多く見られる。特に話題になっているユーザーの投稿によると「注文履歴を非表示にされ、不正利用に気が付かないままクレジットカードの請求が来た」と語っている。 このユーザーがAmazonのサポートに問い合わせしたところ「同様の案件が多発している」「現状では手口が分からないのでどうやって侵入してるのか調査中」などと返事があったという。その後、被害額は全て返金してもらったとしている。 Amazonではサイバーセキュリティ対策の一環
Vivaldi アカウントに 2 要素認証、Vivaldi ウェブメールのアクセスにレピュテーション(評価)システムを新たに導入しました。 | Vivaldi Browser
Vivaldi アカウントに 2 要素認証が登場 まずはじめに、2 要素認証のサポートの実装です。これにより、Vivaldi アカウントのセキュリティレベルを向上させました。 2 要素認証とは? オンラインアカウントなどにログインすると、なりすまし対策として本人を確認するための認証が求められることがあります。その認証方法には色々ありますが、ほとんどが以下の 3 つのカテゴリに当てはまります。 パスワードや暗証番号など、本人が知り得るものによる認証 物理的なセキュリティキーやデバイスなど、本人が所有するものによる認証 顔や指紋認識など、本人による生体認証 多要素認証という認証方式では、アカウントのアクセスにファクター(要素)認証とも呼ばれる 1 つ以上の方法による認証が求められます。近頃では、オンラインアカウントへのアクセスに 2 つの異なる方法による認証が求められるのが一般的なため、多要素
安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Xユーザーの徳丸 浩さん: 「Amazonに関して情報が集まってきていますが、どうも中継型フィッシングではなさそうです。」 / Twitter
Xユーザーのツーブロ(ボルトハンターさん: 「対処方法は以下 1. メールなどのリンクからAmazonのサイトへ移動しない 2.移動してしまった場合、速やかにCookieを削除 3.パスワード変更、電話やEメール、アプリ等の設定していない別の多要素認証が設定されている場合はバックドアになるため削除」 / X
XユーザーのTINGさん: 「いやこれ危なすぎるわ これでログインしたらアカウント抜かれるやつだわ(カスペルスキーでブロックされたのをあえて拒否して試してる 何が怖いってこれブラウザ上で見たらURLも含めて正規サイトにしか見えないしパスワードマネージャーも誤認するってことなんよね https://t.co/eOMVTwNdFs」 / X
XユーザーのFire丸山@Boost 4.0さん: 「【拡散希望】 アマゾン不正アクセスによるギフトカードの大量購入詐欺が発生してるようで、オレ氏のアカウントもやられました。実に巧妙で気が付いてないヒトもいるかと思います。ヤバいっす その件についてサポートの担当様とのやり取りなども含めて成り行きを連投します。1/n https://t.co/wyTh9UKurM」 / X
Xユーザーの徳丸 浩さん: 「一部で「2段階認証が突破された!」と話題になっているようですが、これは以前からあるリアルタイム・フィッシング(中継型フィッシング)かと思われます。以下の動画でPoC付きで解説しています。 https://t.co/GF5fqPflTh」 / X
Xユーザーのゼロさん: 「これマジでみんな見てほしい。 今日詐欺に遭いかけた。2段階認証にしてるから大丈夫だったけどしてなかったら終わってた。これが来るってことはオレのApple IDとパスワードがバレってるって事なんだよね。どこでバレたかオレでも検討もつかない。 2段階認証は絶対ONにしといてほしい。 まじで危ないよ https://t.co/JT0TwUw7Bi」 / X
ASCAII on Twitter: "なんてこったApple IDの2FA先電話番号が知らない番号になってたらしく、その状態でパスワード変更してログアウトしちまったので一生パスコード来なくなった、らしいのだが本当か?"
覚えがないGoogleの「セキュリティ通知」が届いたら
malaさんはTwitterを使っています: 「@agektmr ありがとうございます。別のパスワードマネージャ使っていたり、Googleのパスワードマネージャで同期パスフレーズ使ってるなら、個人的には、2要素目がGoogleに漏れても対してリスクがあるとは思いません。2要素目だけで何か出来るようなケースはそうそう無いだろうし。説明が無いことのほうが問題」 / Twitter
malaさんはTwitterを使っています: 「必要なのは今後E2EE実装するわ、とか、バランス考えたとかの釈明ではなくて、ブログ記事を訂正したり、現状の実装がどうなってるのかアプリ内から辿れる場所で説明することだと思います。」 / Twitter
Eiji Kitamura / えーじさんはTwitterを使っています: 「Google は常にユーザーのみなさまの安全とセキュリティに注力しており、Google 認証システムアプリについても例外ではありません。わたしたちのゴールは、ユーザーのみなさまを守ることと同時に、使いやすく利便な機能を提供することです。」 / Twitter
mala on Twitter: "TwitterがSMSでの2FAやめると言い出し2FA用アプリ探す人が増える ↓ 怪しい2FAアプリが大量に出てきてApp StoreもGoogle Playもtakedownしねえというリサーチ ↓ sophosはOTP生成のシードをサーバーに送るアプリはとんでもない無能かマルウェアと評価 https://t.co/ZlTJ4IWHKt ↓ Googleが同じことやる" / Twitter
Mysk 🇨🇦🇩🇪さんはTwitterを使っています: 「Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices. TL;DR: Don't turn it on. The new update allows users to sign in with their Google Account and s
Google Authenticator now supports Google Account synchronization
Two Factor Authentication