【セキュリティ ニュース】ベリサイン、オンライン詐欺検出サービスの最新版 - 行動パターン分析で「なりすまし」をブロック(1ページ目 / 全1ページ):Security NEXT
日本ベリサインは、オンラインバンキングなどのなりすましによる詐欺を防止する「ベリサインアイデンティティプロテクションオンライン詐欺検出サービス(VIP FDS)」の最新版を提供開始した。 同サービスは、ネットバンキングや通販サイト、ATMを使ったなりすましによる詐欺やマネーロンダリングを防止する事業者向けサービス。 ユーザーの行動パターンを自動的に学習し、不正な行動を検知する「リスクベース認証」を採用。普段と異なるパソコンやブラックリストにあるIPから接続しようとした際に追加認証を要求でき、オンライン詐欺を防止する。 最新版となる「VIP FDS 4.0」では、詐欺行為を検出するためのポリシーについて、複数のポリシー間でデータの共有が可能になるなど柔軟な設定に対応した。 さらに時系列での分析力を強化し、少額の資金移動を繰り返すなどの行動を効果的に検出できるほか、トランザクションが少ないユー
ベリサイン、オンライン詐欺を防ぐ「VIP FDS 4.0」発表
9月1日、日本ベリサインはインターネットバンクのオンライン詐欺や不正振り込みを防ぐ「ベリサイン アイデンティティ プロテクション オンライン詐欺検出サービス」の最新版「VIP FDS(Fraud Detection Service) 4.0」をリリースした。 VIP FDSはオンラインバンク事業者向けのオンライン詐欺検出ソリューションで、通常と異なるPCやブラックリストに載っているIPからのアクセスに対して追加の認証を求めるといった高度な認証を提供する。また、少数の振り込みを繰り返すといった不振なふるまいもブロックできるという。 最新のVIP FDS 4.0では、オンライン詐欺検出のためのポリシーを複数組み合わせる際に値やデータ共有、メカニズムのロックなどを可能にするGlobal Context機能を搭載した。また、少額の資金移動を繰り返すといった時系列の分析、トランザクション履歴の少ない
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
Androidユーザーに悪夢再来か
米シマンテックが、Androidを狙った新たなマルウエア「Android.Lightdd」についてブログで説明している。 Android.Lightddは、「Android.Rootcager」(別名「Droid Dreams」)の後続種と見なされているという。Droid Dreamsは、Android端末のルート権限を奪おうとするマルウエアで、同種のマルウエアとしては最初にユーザー環境で検出された。 ただLightddにはトロイの木馬化されたパッケージが加えられており、パッケージの名前が「lightdd」で終わっている。検出当初の報告では、Lightddが関連しているパブリッシャーのアカウントは5件だったが、シマンテックはさらにもう1件発見した。いずれのアカウントも現在は停止になっているという。 写真●Android.Lightddを説明する画像 LightddがDroid Dreams
『Androidのスクリーンロックは簡単に破られる?』
http://www.gizmodo.jp/2010/08/your-greasy-fingers-are-giving-up-your-android-passcode.html 言われてみれば確かに、画面をキレイに拭いた後、 スクリーンロックを解除したら指の跡がついてしまう。 見にくいけど、この跡を辿れば確かに他の人でもロックは解除できてしまう。 上の記事にもあるけどOS 2.2のFroyoなら、スクリーンロックを上の画像の指をなぞっていくパターンと、数字入力でロックを解除するパターンも選べる。 数字入力なら指の跡が残っていても、何桁の暗証番号か分からないので解除される恐れは少ないか。 OSが2.1以下の人はLockBotというアプリを入れればよい。 数字入力でのスクリーンロック解除が出来るようになる。Xperiaでは動作が怪しいようだけど・・
研究者がスクリーンの汚れを利用した攻撃で、Androidの暗証番号を68%解読
映画のシナリオでは復元した指紋サンプルを使って生体認証システムを迂回したりするが、ペンシルバニア州立大学の研究者は、異なる照明条件とカメラ位置で撮影された写真を使って、2つのAndroidスマートフォン(HTC G1およびHTC Nexus One)のパスコードを68%の頻度で解読した。 同研究者らの論文、「Smudge Attacks on Smartphone Touch Screens」(スマートフォンタッチスクリーンの汚れを悪用した攻撃)には、次のように説明されている。 Androidのパスワードパターンに起因する汚れを悪用したこの攻撃の実行可能性を検証するため、われわれはまずスマートフォンのタッチスクリーン表面から汚れを写真的に抽出できる条件を評価することから分析を始めた。われわれはさまざまな照明の角度と光源、そして端末の位置に対するさまざまなカメラのアングルを検討した。 その結
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
ID/パスワードのみの認証から卒業を――EMCがリスク認証サーバ
EMCジャパン RSA事業本部は5月10日、リスクベース認証サーバ「RSA Authentication Manager Express 1.0」を発表した。中堅・中小企業を主なターゲットとし、8月22日に提供を開始する。価格(税別)はユーザー数に比例するライセンス体系で、ユーザー単位は25、50、100、150、250、500、750、1000、1500、2000、2500を用意。25ユーザーの場合で31万円(税別)、100ユーザーで115万円とする。 同製品は、これまでオンラインバンキングなどを中心に世界1万社での採用実績があるリスクベース認証ソフトウェア「RSA Adaptive Authentication」のリスク判定技術を、エンタープライズ向けに最適化し、アプライアンス版として製品化したものである。 Webサイトなどへのログイン時に(1)ID/パスワード、(2)クッキーなどの端
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
