Python Package Index(PyPI)は、2023年末から全てのアカウントに対して二要素認証を義務付ける予定だ。近年、オープンソースソフトウェアのリポジトリを標的としたサイバー攻撃が目立っており、今回の対処はアカウントを乗っ取る攻撃を防ぐ意図がある。 プログラミング言語「Python」のサードパーティーソフトウェアリポジトリである「Python Package Index」(以下、PyPI)は2023年5月25日(注1)、同年末からWebサイト上でプロジェクトまたは組織を管理する全てのアカウントに二要素認証を義務付けると発表した。 Pythonは広く使われているプログラミング言語の一つだ。この義務化は、過去にPyPIユーザーを危険にさらしたアカウント乗っ取りを防ぐ目的がある。 2023年末にかけて、PyPIは二要素認証の使用に基づいて特定のWebサイト機能へのアクセスを制限す
ack.ioさんのツイートによれば、Googleで「楽天トラベル」を検索すると、楽天トラベルそのものに見えるといった偽装サイトの広告が増えているそうだ。同氏がリンク先をクリックするとxyzというドメインのサイトに繋がった。しかしリンク先のサイトのデザインは楽天トラベルそのものとなっており、間違って契約してしまう可能性もあると指摘している。同氏によれば、同じデザインでドメイン違いのものが数多く出回っているようだ(Togetter)。 またTogetterのまとめによれば、「楽」と「天」の間に半角スペースを入れることにより、Google広告のチェックをすり抜けているといった指摘も出ている。Google公式の広告リンクであることから、ドメイン関係のチェックをあまりしない傾向のあるスマートフォン世代などが間違って契約してしまう可能性もあるかもしれない。楽天側もこうした偽装サイトに対する警告は出して
oathtoolをインストールする(二要素認証のワンタイムパスワードをsecretから生成する) - やってみる
GitHubなどWebサービスの認証で使う。 手順 インストール バージョン ヘルプ 使ってみる 1. インストール sudo apt install -y oathtool 2. バージョン $ oathtool --version oathtool (OATH Toolkit) 2.6.1 Copyright (C) 2015 Simon Josefsson. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Written by Simon
米Twitterは12月2日(現地時間)、ログインで設定する二要素認証で、iOSおよびAndroidのスマートフォンでも物理的なセキュリティキーを使えるようにしたと発表した。これまではPCにのみ対応していた。 セキュリティキーを使うには、まずショートメールまたは認証アプリを使った二要素認証の方法をオンにし、[セキュリティキー]→[始める]を選択してからセキュリティキーをポートに挿入する。2回目以降は、セキュリティキーを挿入するだけでログインできるようになる。 スマートフォンのポートは、最近のAndroidはほとんどがUSB Type-C、iPhoneはすべてLightningだ。PCでType-Aなどのセキュリティキーを使っていた場合は、アダプターを追加するか、それぞれのポートに対応するセキュリティキーを購入する必要がある。米Googleの「Titan」シリーズにはType-C対応製品があ
二要素認証狙う 偽サイト手口 - Yahoo!ニュース
近年、国内におけるネットバンキングをかたったサイバー攻撃において、メールやSMSで通知されるワンタイムパスワードなどの二要素認証(二段階認証などとも呼ばれます)を狙う偽サイト(フィッシングサイト)を確認しています。これらの攻撃は、特にネットバンキングの仕組みを調べた上で巧妙な手口で、二要素認証を突破し、金銭の窃取を狙っていると考えられます。 続きを読む
アノテーションコンタクトセンターチームの松浦です。GitHubの二要素認証設定に戸惑ってしまったため、同じく困っている方の助けになればと思い、設定方法をまとめてみました。 2023年3月13日より、順次2要素認証要求開始 この度GitHub社が、2023年3月13日から二要素認証の要求を一部の開発者に対して開始し、1年の間にすべての開発者へ展開していく予定と発表しました。 「GitHub(ギットハブ)」は、世界中の人々がプログラムコードやデザインデータを保存・公開できるソースコード管理サービスです。 比較的エンジニアさんたちが使うことが多い印象ですが、私の部署では弊社が公開しているYouTube動画に日本語・英語の字幕付けをするための推敲場所として使用しています。 ITバリバリの部署ではないため、私を含め二要素認証設定に戸惑う者もいたため、今回設定方法をブログにまとめてみました。 TOTP
こんにちは。事業推進部の廣田です。 NFLabs. アドベントカレンダー3日目ということで、 本稿ではssh接続時の二要素認証の実装について書いてみたいと思います。 はじめに 現在私はNTTコミュニケーションズ株式会社からNFLabs.に出向しているのですが、出向してくる前にNFLabs.が実施するセキュリティエンジニア育成研修カリキュラムを長期間みっちりこってりと受講してきました。 研修ではサーバ構築など基本的な内容からソフトウェア開発やペネトレーション等、セキュリティエンジニアに必須となるスキルを体系的に幅広く学ぶことができ、今回はサーバ構築の時に取り組んだ課題についてのお話です。 どんな課題だったの? 研修課題の中でssh鍵認証を実装したWebサーバを構築したのですが、そこで追加課題として次のようなお題をいただきました。 構築したWebサーバをさらにセキュアに設定すること 脆弱な設定
ドコモ口座をはじめとする複数の決済サービスを使った不正出金の被害が相次いでいることを受け、ゆうちょ銀行が9月16日に記者会見を開き、被害件数は109件で被害総額は1811万1000円(同日午後時点)と発表した。被害が発生したものを含む10社の決済サービスでは、連携する際の本人確認で二要素認証を導入していなかったため、現在は新規口座の連携と各口座へのチャージを停止している。 田中副社長は「二要素認証の導入は、これまでも強く決済事業社にお願いしたが、合意に至らずここまで来てしまった」と説明する。例えば、NTTドコモとは被害発覚前から協議をしており、9月中にはドコモ口座との連携時に二要素認証を導入予定だったという。 直近では不正出金の報道を受け、連携している決済サービス事業者にあらためて二要素認証の導入を交渉したという。事業者側も早急な対応を取り、連携している10社中9社が9月17日までに二要素
GitHubは9月21日(米国時間)、「Security alert: new phishing campaign targets GitHub users|The GitHub Blog」において、脅威者がCircleCIになりすましてユーザーの認証情報や二要素認証(2FA: Two-Factor Authentication)コードを窃取するフィッシングキャンペーンを展開し、GitHubユーザーを標的にしていたことを伝えた。GitHubはこのキャンペーンを2022年9月16日に知ったと伝えており、GitHub自体は被害を受けなかったが、多くの被害組織が影響を受けたと報告している。 Security alert: new phishing campaign targets GitHub users|The GitHub Blog このキャンペーンでは、ユーザーのCircleCIセッション
Google Authenticatorがクラウド同期に対応、二要素認証コードをデバイス間で共有可能に 2023年4月24日、Googleの二要素認証管理アプリGoogle Authenticator(Android版/iOS版)がバージョン4.0にアップデートされた。新バージョンでは二要素認証用のワンタイムコードをGoogleアカウントと同期し、デバイス間で共有できるようになった。 Google Authenticator now supports Google Account synchronization - Google Security Blog これまで、Google Authenticatorの二要素認証のワンタイムコードに必要な情報はデバイス内のストレージにしか保存されず、スマートフォンなどの機種変更時にはAuthenticatorデータのエクスポート/新機種へのインポート
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
この度 Twilio SendGrid では、セキュリティ強化を目的として、サービスご利用中の全アカウント(サブユーザ、Teammates含む)に対し、APIキー認証および二要素認証を必須に変更することになりました。 Twilio SendGridのご利用に影響が出る可能性がある非常に重要な変更となりますので、対象のお客様は、以下をご確認の上、期日までの対応をお願いいたします。 変更内容 日本時間2021年1月26日 午前1時以降、以下が必須に変更されます。 Web APIおよびSMTPリクエストのAPIキー認証 app.sendgrid.com/login からログインする際の二要素認証 対応が必要なお客様 以下のいずれかに該当する場合、後述の対応内容の実施をお願いいたします。 ユーザ名/パスワード認証を使用して、Web APIもしくはSMTPを利用している app.sendgrid.c
WordPressのセキュリティを高めるには、簡単にログインできないようにすることが第一の対策です。もっともよく使われている対策はログイン時のパスワードを強化することですね。このようなサイトで最低10文字以上の英数字を生成するケースが多いかと思います。 パスワード強化だけでも十分効力はありますが、複数の人たちで管理している場合はパスワードが何かしらの理由で流出する可能性もなくはありません。その場合に有効なのが二要素認証です。例えば、万が一パスワードが流出しても、ログインの度にワンタイムパスワードや認証コードを必要とするようにすれば、ログインできません。 そうした二要素認証(二段階認証)の設定ができるのが今回ご紹介するWordPressプラグイン「Two-Factor」です。 二段階認証と二要素認証について まずはセキュリティ強化の前に前提知識として下記の記事をご覧ください。 ・「二段階認証
Yubikeyでは、Mac OS Xログイン時にパスワードとセットでYubikeyを使用しないとログインできないようにする(二要素認証設定ができる)ことができるので、実際やってみることにした。 手順も用意されていて結構簡単に実現できるようになっている。 参考にする手順はこれ(2016年12月)。 事前に、Yubikeyでチャレンジレスポンスの設定(手順上はSlot2なので、検証時はSlot2で行った)をしておくこと。 まず、こちらのページから「Mac OS X Logon (using Yubico-PAM)」をクリックし、pamモジュールのインストーラーをダウンロード、2要素認証を設定するMacにインストールする。 インストール後、「/usr/local/lib/security/pam_yubico.so」が配置されていることを確認する。 確認できたら、YubikeyをMacに差し込ん
年老いたときに二要素認証に追いつける自信がない
二要素認証のアプリでコードが表示されるのでそれを入力しなければならないのだけど、6桁の数字に対して有効期限が30秒しかない。 今は全然余裕だけど、将来的に年老いたときに5秒に1桁のペースで数字を正確に入力できる自信がない。 現役で高齢者の人たちはどうしてるんだろう?
認証アプリか、セキュリティキーを使おう 多くの人がネットサービスを日常的に利用している現代において、アカウントを保護することはきわめて重要だ。そこで強い味方になるのが、二要素認証。パスワードやSMSコード、パスワードや指紋認証など、異なる認証要素の2つを組み合わせるセキュリティだ。 現在、SNSを始め、多くのネットサービスが二要素認証に対応している。Twitterも、その1つだ。 Twitterの二要素認証は、「SMS」「認証アプリ」「セキュリティキー」の3つのいずれかを用いる仕組みになっている。しかし、SMSを使ったものが、2023年3月20日から有料化となる(An update on two-factor authentication using SMS on Twitter)。 正確には、Twitterの有料サービスである「Twitter Blue」の会員以外は、2023年3月20日
ユーザーとサービスなどの間にサイバー攻撃者が割り込んで、悪意のある動作を行う「Man in the middle」(MITM)攻撃。比較的古くからあるサイバー攻撃手法であるが、現在も引き続き行われている。2019年には、オンラインバンキングサービスのワンタイムパスワードによる二要素認証を突破するケースが確認されている。ここでは、MITM攻撃の特徴と二要素認証を突破した手法、および対策について紹介する。 MITM攻撃とは「Man in the middle(MITM)攻撃」はサイバー攻撃の一つで、「中間者攻撃」とも呼ばれる。古くは「バケツリレー攻撃」とも呼ばれた。MITM攻撃は、主にユーザーとサービスの間にサイバー犯罪者が入り込み、受け渡すデータを盗み見たり改ざんしたりする攻撃手法のことを指す。一般的に、公衆無線LAN(Wi-Fi)を利用する際や、Webブラウザーでオンラインバンキングを利用
ユーザーは多くのアカウント管理を強いられている一方で、アカウント情報の流出は頻繁に起こっている。もはやIDやパスワードは流出するものとして考えて、セキュリティに取り組む必要がある。不正アクセスなどのセキュリティ問題からユーザーを守るため、二要素認証は欠かすことができないのが現状である。しかし二要素認証にはさまざまな方法があり、サービス提供者が導入するにはそれぞれの方法の利点や欠点などを把握することが重要である。APIで二要素認証を提供しているTwilio Japan合同会社の池原大然氏は、複数の二要素認証手法の比較と認証システムについて語った。 本レポートは、2023年2月9日に行われた講演をもとにしたものです。 個人アカウントを守る、セキュリティを高める二要素認証の必要性 Twilio Japanは、SNSや電話、チャット、ビデオ、Eメールといった、さまざまなコミュニケーションチャネルを
Masanori Kusunoki / 楠 正憲 on Twitter: "P.5参照。各銀行のサイトで必要な情報を入力するところで半分以上の顧客が脱落している。ドロップ率を下げるために二要素認証を嫌う傾向はあったのかも。不正出金被害を補償してでもという握りがあれば経営判断かな / “… https://t.co/7uNLldHGTd"
P.5参照。各銀行のサイトで必要な情報を入力するところで半分以上の顧客が脱落している。ドロップ率を下げるために二要素認証を嫌う傾向はあったのかも。不正出金被害を補償してでもという握りがあれば経営判断かな / “… https://t.co/7uNLldHGTd
Windows 10でYubikeyを用いたログイン・ロック解除時の二要素認証設定をする機会があったので、記録として残しておく。 Mac OS Xでの設定についてはこちらでやっている。 なお、事前にチャレンジレスポンスの設定は行っているものとするが、以下の点について注意が必要。 鍵作成時に「Require user input(button press)」のチェックは外しておくこと →このチェックが入った状態だと、ログイン時にボタンをタッチしても認識されず、エラーになってログインできなくなるため バックアップキーには同じ鍵を登録すること →複数の鍵を登録できないため 設定自体はかなり簡単で、Yubikeyのログインツールを入れて手元のYubikeyを登録するだけ。 Mac OS Xのようにpamの設定ファイルをいじるといった事は不要のようだ。 なお、インストールには.NET framewo
ブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有
GitHub Authentication Plugin を使った Jenkins の二要素認証の実現 - KADOKAWA Connected Engineering Blog
はじめに KCS 部の島崎です。 KCS部は、KADOKAWAグループ向けプライベートクラウド(以下KCS)を提供しており、主な利用者は株式会社ドワンゴがサービスを提供している『niconico』です。 今回は Jenkins の二要素認証を実現するための方法について投稿します。 Jenkins をどのように使っているか? Jenkins は主に admin operation で利用しています。なお、これらは基盤運用チームのみが実行できるように制限をかけています 利用者アカウントの発行 利用者アカウントの削除 インスタンスの作成 インスタンスの更新(スケールアップ) インスタンスの削除 Jenkins に二要素認証をかける理由とは 背景としてまずセキュリティ強化があり、次の状態にありました。 認証方法 二要素認証の方法 備考 SSH (操作対象) 公開鍵認証 N/A 踏み台サーバからしか
nanaco会員メニューのログイン方法の変更・一部サービス二要素認証導入のお知らせ(11月21日更新)|電子マネー nanaco 【公式サイト】
平素は、電子マネー「nanaco」をご利用いただき、誠にありがとうございます。 このたび、お客様により安心・安全にnanacoのサービスをご利用いただくため、本日、nanaco会員メニューのログイン方法の変更と 一部サービスに二要素認証の導入をいたしました。 ① nanaco会員メニューのログイン方法の変更について ・ nanacoカードをお持ちの方は、本日以降、nanacoカード裏面の7桁の番号はnanaco会員メニューへの初回ログインのみ利用可能となります。 ・ 初回ログイン時に、会員メニュー用パスワードの設定画面が表示されますので、案内に従い、パスワードの設定をお願いいたします。 ・ nanacoモバイルfor Android、Apple Payのnanacoをお持ちの方は、ログイン方法の変更はございません。 ・ 設定した会員メニュー用パスワードは大切に保管してください。 ・ すでに
背景と実施したこと ■はじめに Azure Active Directory B2C(以下、AADB2C)を使ってNext.jsのアプリにユーザ認証を組み込んだ。 以下の記事を参考にして進めたのみであるが、記載の手順に加えて、認証画面の日本語化と二要素認証を行ってみた。 本記事では下記の参考記事に記載していない部分を補足的に記しておく。 参考:React & Next.js に Azure Active Directory B2C (AADB2C) で超手軽に認証機能を実装しよう ■取り組んでみた所感 認証周りの実装の選択肢はAWSやfirebaseもあるが、Azureの場合複数のアプリでも同じ認証を使い回せるという点が個人的には一番大きな違いのように思える。(これはAWSもできるかも... 詳しい方いればコメントください。) Azureのメリットの詳細は以下の記事参照。 参考:IDaaS
「多要素認証」が広がっています。前回のコラム『クレジットカード不正対策に必須!「本人認証サービス」の現在地』では、「本人認証」の重要性が改めて注目されていることを、お伝えしました。そこでも触れたように、セキュリティ強化のため活用されているのが、本コラムでご紹介する「多要素認証」です。 現在でも、IDとパスワードの組み合わせによる認証方式はまだ一般的ですが、パスワードの使い回しやサイバー攻撃によって無力化するリスクを孕んでいます。その点、「多要素認証」ならば、「別の要素との組み合わせ」で認証するため、第三者による不正ログインをかなり高い割合で防止できます。Microsoftが2019年8月に発表したレポート(◆)によれば、多要素認証は不正ログインを99.9%以上ブロックできるとのこと。少なくとも現時点で不正ログインを防ぐには、多要素認証が有効な手段であることは間違いありません。 そこで本コラ
投資初心者を中心としたスマホ証券としたLINE証券。8月からPCのブラウザでも利用可能になった。ログイン時にLINEアプリで認証が求められる SBI証券から、悪意のある第三者による不正アクセスによって第三者が偽造した本人名義の銀行口座へ出金される資産流出被害が発生した事件を受け、主要オンライン証券会社は、利用者に向け、セキュリティ関連の設定見直しや、ほかのサイト・サービスで使っているパスワードの使い回しをやめるよう呼びかけている。 ●出金先口座の登録・変更手続きを一時停止 当面の間、書面手続きに 証券口座の開設には、運転免許証などの本人確認書類2点以上とマイナンバー確認書類が必要。証券口座への入金は無料で、入金すると預かり残高(買付余力)となる。 証券口座からは本人名義の銀行口座にしか出金できず、ログインパスワードとは別の「取引パスワード(auカブコム証券は出金専用パスワード)」が必要。取
多要素認証とは?二要素認証・二段階認証との違いを解説 | お役立ちブログ | 情報セキュリティ対策に関するお役立ち情報 | 企業の情報セキュリティ対策・ITシステム運用のJBS JBサービス株式会社 JBサービス株式会社
過去にキャッシュレス決済サービスの不正利用が起こった際、「二段階認証」がトレンドワードとなったことがありました。 多要素認証と二要素認証、二段階認証は名称こそ似ていますが、意味は異なります。 では、今必要だとされている「多要素認証」とはどのようなものなのでしょうか。 今回は、多要素認証の概要をご説明しながら、二要素認証・二段階認証との違いについてもご紹介します。
PyPIが重要なプロジェクトに対し、二要素認証を義務化
The Hacker Newsは7月10日(米国時間)、「PyPI Repository Makes 2FA Security Mandatory for Critical Python Projects」において、PyPI (Python Package Index)リポジトリにある重要なプロジェクトのメンテナに対し、二要素認証(2FA: Two-Factor Authentication)を課し始めたたことを伝えた。この取り組みによって、重要なプロジェクトのメンテナ(オーナーを含む)は公開、更新、修正を行う際に二要素認証を有効にする必要があるという。 PyPI Repository Makes 2FA Security Mandatory for Critical Python Projects PyPIの公式Twitterにおいて、二要素認証の義務化への取り組みが開始したことが発表さ
Amazon WorkSpacesでYubiKeyの二要素認証(U2F)を試してみた | DevelopersIO
しばたです。 以前の記事でAmazon WorkSpacesのWindows用クライアントがメジャーバージョンアップし、PCoIP環境におけるUSBリダイレクトとYubiKeyを使った二要素認証(U2F)をサポートした旨をお伝えしました。 この記事を書いた際に購入したYubiKeyが届き、実際に二要素認証を試してみたのでその手順を紹介します。 事前準備 実際試してみて分かったのですがWorkSpacesでYubiKeyを使うには前提条件が結構複雑です。 分かってしまえば大したことではないのですが情報ゼロの状態からだと正直大変でした。 というわけで最初に満たしておく必要のある前提条件から紹介します。 前提1. 所定のYubiKeyを持っていること 当たり前ですがYubiKeyの物理デバイスを持ってなければお話になりません。 WorkSpacesでサポートされるデバイスの種類は以下のドキュメン
二要素認証のワンタイムパスワードをPythonで自動生成処理してみる - TSUBOCK★LABO-ツボックラボ-
処理の自動化を検討する上で、二要素認証が必要なサイトがあったりするので、Pythonで二要素認証への対応を実装してみました。 二要素認証とは 二要素認証とは、利用者の本人確認などの認証において、二つの異なる原理の認証手段を組み合わせて用いることにより精度と安全性を高める手法。 二要素認証は方式として - HOTP(HMAC-based One-Time Password) - TOTP(Time-Based One Time Password) の2種類があります。 HOTP(HMAC-based One-Time Password)とは HOTPはカウンターベースで値が更新されていきます。 サーバー側ではあらかじめユーザーごとに一意になる値を設定しておき、 その値を基準にカウンタの値でパスワードが決定されます。 TOTP(Time-Based One Time Password)とは T
コミュニティサクセスプラットフォーム「commmune」、「ユーザーの属性情報の取得・管理機能」と「二要素認証機能」を追加 - BRIDGE(ブリッジ)テクノロジー&スタートアップ情報
ユーザー情報を安心・安全に管理しコミュニティを活性化 企業とユーザーが融け合うコミュニティサクセスプラットフォーム「commmune(コミューン)」と、効率的なカスタマーサクセスのためのアクション基盤「SuccessHub(サクセスハブ)」を提供するコミューン株式会社(本社:東京都品川区、代表取締役CEO:高田優哉)は、コミュニティサクセスプラットフォーム「commmune」に「ユーザー情報の取得・管理機能」が追加されたことをお知らせします。また、新たに取得できるようになるユーザー情報を管理者が安全に管理・活用できるように、コミュニティ管理者向けの「二要素認証機能」も合わせて追加しました。 PR TIMESで本文を見る
オンラインサービスに対してのハッキング被害が年々増加傾向にあり、ビジネスに与える影響も大きくなるにつれ、ドメイン名のセキュリティ対策について知っておくことはさらに重要になってきています。 今回はドメイン名管理に対するセキュリティ対策において知っておくべきことについてご説明します。 ドメイン名の管理アカウントで二要素認証 (TOTPまたはU2F) を有効化しましょう。二要素認証を使用することで、通常のユーザー名とパスワードとは別にセキュリティ層を追加し、第三者が容易にドメイン名を管理するアカウントにログインできないようにします。 アカウントへのログイン時のIPアドレス制限を有効化しましょう。承認済みIPアドレスに指定したもの以外のIPアドレスから第三者がアカウントにログインすることを防ぐことで、ドメイン名管理にセキュリティを強化することができます。 戦略的ドメイン名を失うことを避けるために、
クラウドサービス情報開示認定機関ASPIC※1が、(1)OSSで人気のプロジェクト管理ツールを機能拡充しクラウドで提供するサービス(2)二要素認証を簡単・短期間で導入でき...
TOP > プレスリリース一覧 > 「その他IT・インターネット (企業向け)」のプレスリリース > クラウドサービス情報開示認定機関ASPIC※1が、 (1)OSSで人気のプロジェクト管理ツ... クラウドサービス情報開示認定機関ASPIC※1が、 (1)OSSで人気のプロジェクト管理ツールを機能拡充し クラウドで提供するサービス (2)二要素認証を簡単・短期間で導入できるサービス及び (3)幅広い理美容サロン業務をカバーするPOSシステムを クラウドで提供するサービスの3件を新たに認定。 ~本情報開示認定制度は、平成19年から総務省ご指導の下、 ASPICが立ち上げ・推進しており、利用者が安心して利用できる クラウドサービスの普及推進を図っています。 本年7月11日には、累計300サービスの認定を突破しました。~ 一般社団法人日本クラウド産業協会(ASPIC)は、2022年9月30日、
イーサリアムのヴィタリックのXアカウントがハッキング、詐欺宣伝に利用 二要素認証の必要性 - 宏福商事合同会社 KOFUKU TRADING L.L.C.
9月11日あたらしい経済によると、イーサリアム(Ethereum)の共同創業者であるヴィタリック・ブテリン(Vitalik Buterin)氏のX(旧Twitter)アカウントが、ハッキングを受けた。そしてハッカーはフィッシングリンクをポストしたようだ。Xにて9月10日ポストしている。 中国の暗号資産(仮想通貨)関連記者のコリン・ウー(Colin Wu)氏は、このXハッキングは「ビンクドレイナー(Pink Draine)」と呼ばれるハッカーもしくはハッカー集団に関連している可能性があるとXでポストしている。 今回ハッカーらによりヴィタリックのXから投稿されたのは、リンク先にウォレットを接続し、無料の記念デジタルコレクティブルを受け取るよう勧める内容だった。 ブロックチェーン専門家で暗号資産関連の探偵であるザックXBT(ZachXBT)氏によれば、その投稿のリンク先から流出した資産の総額は6
いつもhontoをご利用いただき、ありがとうございます。 2022年11月15日より、第三者による不正ログインを防ぐため、ログインの際のパスワード認証に加え、 ご登録のメールアドレス宛にお送りする認証コード入力による「二要素認証」機能を導入します。 これに伴い、2022年8月24日より開始しておりましたhontoにログインした際に、 メールでお知らせするサービス(ログイン通知メール)の配信を終了します。 ■対応日 2022年11月15日(火) ■二要素認証とは hontoサイトにログインする際、「会員ID(メールアドレス)」「パスワード」に加えて、 ご登録のメールアドレス宛にお送りする認証コードの入力が必要となります。 認証コードを画面に入力することでログインが完了します。 システム上の判定により、二要素認証が省略される場合もあります。 なお、二要素認証は、個別に無効化することはできません
Resecurityは9月5日(現地時間)、二要素認証を回避する新しいフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)が発見されたと発表した。 このPhaaSは「EvilProxy」と命名された。「EvilProxy」は、二要素認証による保護を回避する手段として、リバースプロキシとクッキーインジェクションを使用し、被害者のセッションをプロキシングするという。これにより、Apple、Facebook、GitHub、Google、Dropbox、Microsoft、Twitter、Yahooなどのアカウントを侵害するフィッシングリンクが作成される。 「EvilProxy」は、サイバー犯罪者が利用しているダークWebで宣伝されているため、今後広がり、さまざまな手法に応用される危険がある。 (川原 龍人/びぎねっと) [関連リンク] アナウンス
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PyPIが二要素認証を義務付け OSSのリポジトリへの攻撃が相次ぐ
楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因? | スラド セキュリティ
Twitter、スマートフォンの二要素認証でも物理キーに対応
GitHub 二要素認証設定の仕方 | DevelopersIO
ssh接続時の二要素認証の実装について - NFLabs. エンジニアブログ
ゆうちょ銀行、ずさんな本人確認 なぜ二要素認証の導入が遅れたのか 田中副社長「決済事業者と合意に至らず」
GitHubユーザーの認証情報や二要素認証盗むフィッシングキャンペーンに注意
Google Authenticatorがクラウド同期に対応、二要素認証コードをデバイス間で共有可能に | gihyo.jp
2019年第3四半期の脅威動向:「ECサイト改ざん」と「ネットバンキング二要素認証突破型フィッシング」
【重要】APIキー認証および二要素認証が必須に変更されます – サポート
ログイン時に二要素認証が設定できるWordPressプラグイン「Two-Factor」 – ワードプレステーマTCD
YubikeyでMac OS Xログイン時に二要素認証を行うよう設定する | 俺的備忘録 〜なんかいろいろ〜
TwitterのSMS利用二要素認証が有料化、無料で二要素認証を有効にするには
いまだ根強い「Man in the middle」攻撃、二要素認証突破も|大塚商会
ユーザーに最適な二要素認証の方法を考える、それぞれのメリット・デメリットとは?
YubikeyでWindows 10ログイン時に二要素認証を行うよう設定する | 俺的備忘録 〜なんかいろいろ〜
『二要素認証(TOTP)のトークンをどこに保存するか問題 - @kyanny's blog』へのコメント
AzureADを使って二要素認証をNext.jsに組み込む - Qiita
多要素認証はなぜ必要?二段階認証・二要素認証との違いは?【一覧表あり】 | デジマケチャンネル
ログインする際はスマホで認証、「二要素認証」がスタンダードになる予感(BCN) - Yahoo!ニュース
NECソリューションイノベータ、情報共有プラットフォーム「PROCENTER/C」に二要素認証機能を提供
EMAの二要素認証の主なアプリの対応状況を調べた【「vPro友の会」情報】
マネックス証券、出金時の二要素認証(SMS)に対応
二要素認証、IP制限、レジストリロック等ドメイン名のセキュリティを自分の手で管理しましょう – Gandi ニュース
honto - 【重要】ログインにおける二要素認証を導入します - hontoからのお知らせ一覧
二要素認証を回避するツールキット「EvilProxy」が発見される – びぎねっとITニュース
理経、既存アプリに顔認証を追加し二要素認証実現 ~ 顔写真を用いたなりすましも防止 | ScanNetSecurity
