Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
{.md_tr}株式会社ドワンゴ ## サイバー攻撃について ### Q1.どこからどうやってどのようなウィルス・マルウェア・ランサムウェアの攻撃を受けたのかは判明しているのでしょうか。 専門の調査機関にもご協力いただいての調査が必要になります。より正確な調査結果など、お知らせすべき新たな事実が判明いたしましたら随時ご報告いたします。 ### Q2.ランサムウェアというのは何でしょうか。 警察庁の説明では、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。 ### Q3.なぜランサムウェアだという発表を遅らせていたのでしょうか。 ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差
2023年11月27日、LINEヤフーは同社のシステムが不正アクセスを受け外部にユーザー情報などが流出したと公表しました。その後も調査が継続して進められたところ、2024年2月14日には最終の調査報告として社外のサービス(ファイル共有やSlackなど)に対しても影響が認められたと公表しました。さらに今回の調査を通じて別の委託先2社を通じた不正アクセス事案も確認されたと同日に公表しました。ここでは関連する情報をまとめます。 社内外システムへ不正アクセス LINEヤフーが主体として管理運用するシステム(社内システム)と社内コミュニケーションに利用していた社外サービスシステムに影響が及んでいた。11/27公表を事案A、2/14公表を事案Bとして、具体名称が上がっているシステムは以下の通り。*1 旧ヤフー社側とはシステム基盤が異なることから、ヤフー側の情報への影響はない。また公表時点では流出可能性
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては「セキュリティレベル」を定めてそれに応じた保護策をとる旨が記載されています。 データの取り扱いとセキュリティレベル プロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう
サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
Blueskyの開発者に「鍵アカウントの実装予定は?」「日本支社の設立予定は?」など何でも聞けるイベントが開催されたので行ってみたら開発者の「やることリスト」に追加されるアイデアが続々飛び出す充実のイベントでした
Bluesky開発チームに直接質問できるイベント「Bluesky Meetup in Osaka Vol.2」が2024年4月14日(日)に大阪で開催されました。イベントにはBluesky開発チームのテクニカルアドバイザーを務めるWhy氏が登壇し、ユーザーからの「こんな機能の実装予定はある?」「日本支社の設立予定は?」といった多様な質問に答えてくれました。 Bluesky meetup in Osaka Vol.2 - connpass https://428lab.connpass.com/event/313710/ ・目次 ◆1:会場はこんな感じ ◆2:Bluesky Meetup in Tokyo Vol.2のおさらい ◆3:Why氏との質疑応答 ◆4:Why氏への直撃インタビューもあり ◆1:会場はこんな感じ Bluesky MeetupはBluesky開発チームにリアルタイムで質
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
中国発の越境オンライン通販「Temu」の安全な使い方
ESETは2024年1月17日(現地時間)、「Is Temu safe? What to know before you ‘shop like a billionaire’」において、オンラインマーケットプレイス「Temu」を取り巻く問題点を取り上げ、Temuを利用する際の注意点を伝えた。Temuは中国の拼多多(Pinduoduo Inc.)を親会社とする越境オンライン通販サイトおよびアプリで、主に中国企業の製品を低価格で直接購入することができる。 Is Temu safe? What to know before you ‘shop like a billionaire’ Temuの問題点 ESETによると、Temuの顧客レビューは評価が低く、星による評価では2.5以下だという。批判的なレビューでは、スパムメッセージ、返金の難しさ、商品の質の低さ、商品が届かないといった問題点が指摘されて
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
二段階認証の仕組みと導入時におさえておきたい対策 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちはこんばんは! 昨今、セキュリティへの関心が非常に高まっています。 二段階認証を取り入れる企業が多くなってきました。 最近の例で言うと、Githubが2023年3月ごろに二段階認証を義務化したのは記憶に新しいと思います。 そこで、今回は認証の基礎知識をおさらいした上でTOTPを使った二段階認証の仕組みと導入時の注意点について解説します! ※本記事の内容は、ビアバッシュ(社内の技術共有会)にて登壇発表した内容です。 ビアバッシュの取り組みについては以下の記事を読んでみてください! tech-blog.rakus.co.jp はじめに 基礎知識 二要素認証とは? 二段階認証とは? 二要素認証と二段階認証の違い ワンタイムパスワードとは? HOTPとTOTPについて HOTPとは? TOTPとは? TOTPの時刻ズレ対策 導入編 TOTPの時刻ズレ対策の実装 TOTPの注意点
米Googleは10月10日(現地時間)、パスワード不要のサインイン機能「パスキー(passkey)」を、Googleアカウントのデフォルト(初期設定)オプションに設定すると発表した。アカウントにサインインしようとすると、パスキーの作成を求めるプロンプトが表示されるようになる。 パスキーはパスワードより安全ではあるが、「新技術が普及するには時間がかかることが分かっているため」、ユーザーにはパスワードを引き続き使い続けるオプションも提供する。設定画面で「可能な場合はパスワードをスキップする」をオフにすれば、パスキーをオプトアウトできる。 パスキーは、Googleが昨年5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省
Xの未来
私たちの変革と未来について 私たちはより良いXの未来を築くべく急速に革新を進め、この9ヶ月でこれだけの成果を上げることができました。これからのさらなる変化にぜひご期待ください。Xを支えてくれてくださっている皆様に心より感謝申し上げます。 Xには映画ファン、スポーツファン、テクノロジーファンなど、多様で熱狂的なコミュニティが世界中にあります。私たちの未来はそうした皆様とともにあります。 2022年11月 11/01 | 公式認証システムをサブスクリプションモデルに転換。 11/09 | イーロンによるX(旧Twitter)の大胆なビジョンを公開。 11/23 |強化されたパフォーマンス広告ソリューションがローンチ。 2022年12月 12/12 | Blue(旧 Twitter Blue)の正式提供を開始。 12/12 | Blue加入者は10分までの動画アップロードを可能に。 12/12
良いUIUXは利益になる。スピードの裏にある日本と中国で異なるUI/UXデザインの考え方 2024年5月21日 ITジャーナリスト 牧野 武文(まきの たけふみ) 生活とテクノロジー、ビジネスの関係を考えるITジャーナリスト、中国テックウォッチャー。著書に「Googleの正体」(マイコミ新書)、「任天堂ノスタルジー・横井軍平とその時代」(角川新書)など。 中国のアプリやミニプログラムのUI/UXデザインには、とにかく便利さを追求したものが多い。中国では、使いやすいアプリはユーザーの離脱を防ぎ、コンバージョンを高めてくれる上に、売上に直結すると認識されているからだ。近年、アジア圏にまたがりサービスを提供する中国企業が増え始めるとともに、その優れたUI/UXが日本にも認知されるようになっている。そのような越境アプリからは学ぶべき点が多いはず。 keyboard_arrow_down 課題を抱え
SNSやWebサイトなどを使った予約システムは、近年、ITの知識がなくても簡単に作れるほか、無料で始められるサービスが増えています。 そんな予約システムの導入を考えている飲食店経営者に向けて、無料で簡単に作る方法や導入のポイントを紹介します。導入のメリット・デメリットも解説するので、検討する際の参考にしてみてください。 こんな人におすすめ 飲食店を経営しており、予約の受付・管理を効率化したい人 予約システムの導入を検討しており、無料で始められるサービスについて調べている人 機能やメリット・デメリット、導入の際のポイントについて知りたい人 予約システムを導入する方法 「LINEで予約」を活用する 予約システム作成ツールを使って予約サイトを開設する 自店のホームページに予約フォームを埋め込む 導入する際に見るべきポイント 無料で始められる簡単予約システム作成ツール12選 予約管理や顧客管理が簡
Sucuriは8月24日(米国時間)、「Why WordPress Gets Hacked & How to Prevent It|Sucuri」において、WordPressがハッキングされる主な理由とその手法を伝えた。「なぜWordPressはハッキングされるのか」という疑問の潜在的な間違いを指摘し、Webサイトを攻撃から保護するために役立つ情報を伝えている。 Why WordPress Gets Hacked & How to Prevent It|Sucuri 「なぜWordPressはハッキングされるのか」という疑問に対し、Sucuriは「WordPressは標的となる唯一のCMS (Content Management System)プラットフォームではない」と回答している。ズレた回答をしているようにみえるが、Sucuriによると、攻撃はすべてのWebサイトに対して行われており、
SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMS
当たり前になりつつある二要素認証 人によってはほぼ毎日受け取っているかもしれない、ショッピングサイトを騙る詐欺メール。ASCII.jpの記事や、このコラムなどを読んでくださっている読者なら、フィッシングサイトのリンクを踏むことはそうそうないだろうと思います。 また、それほどセキュリティへの知識がない方でも、「二要素認証」を設定している人も多いでしょう。パスワード+SMSで送られてくるコード、パスワード+指紋認証など、異なる認証要素の2つを組み合わせる認証方法です。 二要素認証における“認証要素”は、大きく分けて3つあります。IDやパスワード、秘密の質問などの「知識要素」。スマートフォンを使ったSMS認証やアプリ認証など、その人が所有しているものに付随する情報の「所有要素」。顔認識や指紋、虹彩(目の膜)など、身体的な情報の「生体要素」です。 対して、IDとパスワード、さらに秘密の質問を入力す
パスワードの利用は、もはや時代遅れと考えられ、パスキーの利用が推奨されつつある。本記事では、パスキーへ移行することで得られるメリットや、その際の課題を解説する。 膨大なパスワードの管理に、うんざりしている人もいるだろう。多数のオンラインアカウントへのアクセスを管理しなければならない今、パスワードはもはや目的にそぐわなくなっている。複数のアプリやWebサイトで覚えやすい同じパスワードを使い回している人は多い。パスワードの扱いでよくある間違いをしているため、悪意のある攻撃者が容易にパスワードを類推して盗用できる状況になっている。パスワードが一度破られてしまうと、デジタル生活そのものが危険に晒されてしまうので注意が必要だ。 パスワードが長らく使われてきた理由は、それ以外の有効な手段がなかったためだ。しかし、パスキーの登場により、その状況は変わりつつある。グーグル社は(アップル社やマイクロソフト社
パスワード管理ツールの定番「1Password」のiOS版(iOS 17)が、パスワードレス認証「パスキー」に対応した。事前に設定しておけば、生体認証などで1Passwordにログインでき、複数のパスワードをより簡便に管理できる。 6月からβ対応していたWebブラウザ版でも正式にパスキー対応した。Android版も提供準備ができており、近日中にAndroid 14で利用できるようになる予定だ。 パスキーは、事前に設定しておくことで、パスワード入力不要でログインでき、不正ログイン対策にもなるセキュアな認証方式。スマートフォンなどのユーザー端末で鍵ペアを生成。アプリやサーバには公開鍵を、デバイス側には秘密鍵を安全に格納し、ログイン時に指紋などデバイス側の生体認証で秘密鍵を取り出して鍵ペアで認証する。 関連記事 1Password、「パスキー」をサポート 主要ブラウザのβ版拡張機能で サブスク制
ハッカーはGmailを狙う、あなたのアカウントを保護する3つのステップ | Forbes JAPAN 公式サイト(フォーブス ジャパン)
グーグルは、二要素認証用ハードウェアのTitanセキュリティキーの最新バージョンを公開し、ハッカー被害のリスクが最も高い人たちに10万台を無料で配布すると約束した。しかし、それ以外の人には、Gmailアカウントの安全性を高める3つの無料のステップがある。 Gmailアカウントは2023年のメールクライアント市場で世界シェアの約30%を占めている。米国に限れば市場シェアは53%に跳ね上がる。18億人以上のアクティブユーザーによって、推定3330億通のメールが毎日送受信されているGmailは、価値あるデータの宝庫でもあり、犯罪者ハッカーを引き寄せる磁石になっている。Gmailの受信箱に侵入したハッカーは、パスワードリセット通知や個人情報にもアクセスが可能になり、無数の攻撃シナリオを実行する。 しかし、あなたのGmailの受信箱に侵入するためには、あなたのGoogleアカウントにアクセスする必要
Webブラウザと拡張機能の組み合わせは便利だが、セキュリティホールを生み出してしまうこともある。Amazon.comやGmailのパスワードを第三者が盗む方法を研究チームが発見した。 Webブラウザと拡張機能を組み合わせることで利便性が増す一方で、セキュリティホールを生む原因にもなり得る。 あまりにも簡単にパスワードが手に入る ウィスコンシン大学マディソン校の研究チームが2023年8月30日に発表した論文によれば、Amazon.comやgmail.comが入力されたパスワードを一時的に保持する方法に欠陥があり、あるWebブラウザの拡張機能を使うと、第三者がパスワードを読み取れる可能性があるという。これは現実的な危険なのだろうか。 結論から言えば現実的な危険だ。理由は2つある。理由の一つはトラフィックの多いWebサイトの一部にセキュリティ設計が甘いものがあること。もう一つの理由は、悪意のある
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で
XZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起。OpenSSFとOpenJS Foundationsが共同で Open Source Security(OpenSSF)とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行っています。 注意喚起の中では、オープンソースプロジェクトの乗っ取りをはかる動きは現在もいくつかのプロジェクトで起きつつある可能性があることが示され、ソーシャルエンジニアリングによる乗っ取りを防ぐためのガイドラインが紹介されています。 XZ Utilsのようなプロジェクトの乗っ取りはいまも起きている XZ Utilsのインシデントでは、正体不明の人物がメンテナとしてプロ
家庭のルーターはサイバー犯罪者の標的になる スマートフォンやPCを使うとき、オンラインで利用しないというケースはめずらしいだろう。インターネットにつなぐのは当たり前の時代、ルーターを保有している家庭も多いはずだ。 しかし、セキュリティ意識が必ずしも高くない環境で利用されている家庭用ルーターは、悪意のある人間にとっては標的にしやすいもの。第三者にルーターを不正利用され、踏み台にされてしまうサイバー犯罪もあることに注意が必要だ。 総務省、国立研究開発法人情報通信研究機構(NICT)、一般社団法人ICT-ISACが運営する、IoT機器のセキュリティ対策向上プロジェクト「NOTICE」(National Operation Towards IoT Clean Environment)をご存知だろうか。 NOTICEでは、家庭のルーターやネットワークカメラなどIoT機器の安全啓発のための動画を、Yo
“偽サイトを見分けよう”という行為自体がもう危ない
このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。 ITの世界では「銀の弾丸」(Silver Bullet)という表現がよく使われます。元ネタは、米国の著名なエンジニアであるフレデリック・ブルックス氏が1986年に公開した論文『No Silver Bullet - essence and accidents of software engineering』で、「プログラミングにおいて特効薬となる技術はしばらく登場しない」ということを指しています。 しかしセキュリティにおいては、皆が銀の弾丸の探しているだけでなく、“ハリボテ”の弾丸を“銀”だと言う論調も見かけます。もはや銀の弾丸のような万能のソリューションはなく、銀の弾丸かどうかの見
攻撃されやすい人向け、Gmail「強固なセキュリティ機能」が誰でも利用しやすくなる | Forbes JAPAN 公式サイト(フォーブス ジャパン)
20億人近い人々が無料のGmailを利用し、毎日3000億通のメールが同サービスを介して行き交っている。Gmailのデータへの扉となるGoogleアカウントが、犯罪者や国に雇われたハッカーたちの主要なターゲットになっていることに不思議はない。 グーグルの「高度な保護機能プログラム」は、政治家、活動家、ジャーナリストといったオンライン攻撃の標的となるリスクが高いユーザー向けに、アカウントにアクセスするための最も安全性の高いオプションだ。これまで二要素認証(2FA)の方法として、ハードウェアによるセキュリティキーが必要であり、別途費用がかかっていた。 グーグルは、「高度な保護機能プログラム」(APP)に登録するユーザーはハードウェアキーの代わりに「パスキー」も使用して、個別の二要素認証は必要なく、オールインワンのログイン方法として利用できるようになったと発表したのだ。 パスキーが「高度な保護機
パスキー利用状況レポート @ マネーフォワード ID (vol.2, Aug 2023) - Money Forward Developers Blog
English version of this article is available here. はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 前回のパスキー利用状況レポート vol.1から3ヶ月ほど経過しました。その後エンドユーザーのみなさんに向けたプロモーションも実施し、順調にパスキー利用者数が伸びています。 パスキープロモーションの進捗 2023年6月から、マネーフォワード ME という家計簿アプリのユーザー向けにパスキーの登録を促すプロモーションページの表示を開始しました。 現在パスキー未登録なユーザーがパスワードを使ってマネーフォワード ME にログインすると、以下のようなプロモーションページが表示されるようになっています。 プロモーション対象は開始当初は1%ほどに限定していましたが、7月終わりごろから全マネーフォワード ME ユーザー向けに対
Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場:セキュリティニュースアラート TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。
世界最大級の通信キャリア・T-Mobileは、「SIMカードの交換」を利用して個人情報を盗もうとする「SIMスワップ」に悩まされています。直近で新たに、従業員を買収してSIMスワップを行わせようとする試みが確認されていることがわかりました。 T-Mobile Employees Across The Country Receive Cash Offers To Illegally Swap SIMs https://tmo.report/2024/04/t-mobile-employees-across-the-country-receive-cash-offers-to-illegally-swap-sims/ 「SIMスワップ」は、SIMカードの交換を利用したサイバー攻撃で、特定のユーザーになりすましてSIMカードの交換を申請することにより、偽物のSIMカードに対して通信キャリアから個
ショートメッセージサービス(SMS)はスマートフォンで広く使われている。個人的なメッセージはもちろん、多要素認証のコードを受け取る場合もあるだろう。Googleによればここにワナが待ち受けているという。どんなワナだろうか。 Googleによればショートメッセージサービス(SMS)はあまりにも古い技術を使っているため、セキュリティが時代遅れになっていて、危険な状態にあるという。 2023年9月27日、Googleは安全性認証・試験機関のDekraが公開したホワイトペーパーを取り上げ、SMSのセキュリティの欠点を紹介した。どのような欠点があるのだろうか。 SMSのセキュリティはひどすぎる 友人とメッセージを交換したり、家族の写真を共有したり、銀行口座の機密データにアクセスするための多要素認証コードを受け取ったりするために、ユーザーは日々SMSを利用している。生成AI(人工知能)のような最新技術
豊田通商インシュアランスマネジメント傘下、豊田通商インシュアランス・ブローカー・インディア(TTIBI)のMicrosoftアカウントのログイン情報が漏れ、同アカウントから送信されたメールが閲覧できる状態にあったことが報告されました。 Hacking into a Toyota/Eicher Motors insurance company by exploiting their premium calculator website https://eaton-works.com/2024/01/17/ttibi-email-hack/ この問題を報告したのはセキュリティ研究者のEaton Zveare氏。同氏によると、TTIBIのサブドメインにあるアイシャー・モーターズの保険料計算ウェブサイトを通じ、Microsoftアカウントの認証情報が漏れ出たとのこと。 Zveare氏がこの情報を元
グーグルは12月1日より、2年以上使用されていないGoogleアカウントの削除を作成されて以降一度も使用されなかったアカウントから段階的に開始する。 グーグルは12月1日より、2年以上使用されていないGoogleアカウントの削除を、作成されて以降一度も使用されなかったアカウントから段階的に開始する。 スパム・詐欺の温床になる可能性 グーグルは2023年5月16日(現地時間)に同社のアカウントポリシーをすべてのサービスで2年間に変更。少なくとも2年間使用またはログインされていない場合、そのアカウントとコンテンツ(Google Workspace(Gmail、ドキュメント、ドライブ、Meet、カレンダー)およびGoogleフォト内のコンテンツを含む)を削除する場合があるとしている。ただし、YouTube動画を投稿しているアカウントは削除されない。 放置されたアカウントは古いパスワードや複数サー
サイバーセキュリティには根本的な問題がある。パスワードによる認証は60年前に始まり、今日もアクセスコントロールに使われる最も一般的な方法だ。だが、これらは信頼性に欠ける。 サイバーセキュリティ事業を営むNetenrichのCISO(最高情報セキュリティ責任者)であるクリス・モラレス氏は「アクセスコントロールは古い技術から派生したものだ」と話し、パスワードを嫌っている。 「私たちは資金を投入してクールなビジネスに取り組んでいるにもかかわらず、セキュリティ全体がパスワードのせいで崩壊する。私たちが抱える問題は、認証に関して中間の状況がないことだ。全てにアクセスできるか、何にもアクセスできないかの二択だ。そして、ただパスワードを知っていればいいだけだ。パスワードを知っていれば信用できると見なされ、全てを手に入れられる」(モラレス氏) パスワードとIDによる認証は“破綻した仕組み” 「Cybers
総務省は2024年3月5日、「通信の秘密」の漏洩でLINEヤフーを行政指導した。対象は同社が2023年11月27日に公表した情報漏洩である。業務委託先のマルウエア感染を契機に旧LINEのシステムへの侵入を許した。システムの管理をNAVER子会社に委ね、原因を即座に特定できない状態だった。総務省は行政指導で資本関係の見直しにまで言及する異例の事態となっている。 「電気通信事業全体に対する利用者の信頼を大きく損なう結果となったものであり、当省として極めて遺憾である」 総務省は2024年3月5日、電気通信事業法で定める「通信の秘密」の漏洩があったとして、LINEヤフーを行政指導した。同時に公表した資料では10ページにわたり、LINEヤフーにおける安全管理措置や委託先管理の不備などを指摘。さらには親会社との資本関係の見直しにまで言及した。総務省の強い憤りがにじみ出た異例の行政指導となった。 LIN
任天堂は9月21日、ニンテンドーアカウントにパスキー認証機能を追加したと発表した。事前に設定しておけば、対応のスマートフォンやPCから生体認証などを使ってニンテンドーアカウントにログインできる。 パスキーは、スマートフォンなどにあらかじめ保存した認証情報(キー)を、生体認証(指紋・顔)などで呼び出し、サービス側にユーザー専用のキーを渡すことで認証する仕組み。パスワード入力不要でログインでき、不正ログイン対策に有効とされている。 利用には、事前の設定が必要。対応のPCやスマートフォンからニンテンドーアカウントにログインし、「新しくパスキーを設定」を選択。手元の機器で生体認証を行うと、パスキーを設定できる。 設定後は、スマートフォンから生体認証でニンテンドーアカウントにログインできる他、Nintendo Switchでログインする際も、「スマートフォンでかんたんログイン」を選んで表示されたQR
「石川や 浜の真砂は 尽くるとも 世に盗人の 種は尽くまじ」。これは石川五右衛門の辞世の句だと言われています。砂浜の小さな粒を全て取り尽くしたとしても、世の中に泥棒がいなくなることはない、という意味です。 筆者はサイバーセキュリティで今起きている現象と重なる気がして、ふと上記の句を思い出しました。サイバーセキュリティで“尽きない”と言えば「パスワード」ネタです。というわけで今回もパスワードの話をピックアップしたいと思います。 パスワードをちょっと変えただけでは使い回しと大差ない 「ITmedia NEWS」で山下裕毅氏による「パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表」という記事が公開されました。 これはタイトル通り、パスワードを少し変えて使い回しを防止したとしても、攻撃側はそれを予測できてしまうという研究結果です。記事によ
携帯電話契約時の本人確認において「マイナンバーカード必須」というニュースが盛り上がっている。 一部で「マイナンバーカード所有は義務ではなかったはずだが、携帯電話の契約で実質、所有を強要されるのはおかしい」と反発の声が上がっているのだ。 「マイナカード必須化」は非対面限定 しかし、実際のところ、マイナンバーカードがなければ携帯電話の契約ができないというわけではない。 デジタル庁や政府官邸の犯罪対策閣僚会議では「オンラインなど非対面での契約の場合、本人確認はマイナンバーカードのICチップに一本化」とあるが、ショップ店頭など対面での契約は「マイナンバーカード等のICチップ情報の読み取りでの本人確認を義務付ける」とある。 つまり「マイナンバーカード等」という「等」というのがミソのようで、ここには運転免許証や在留カードなどが含まれるとされている。つまり、マイナンバーカードなんて持ちたくないという人は
他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。 他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。乗っ取った後は、SMSを利用した二段階認証を突破してパスワード変更を行い、ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。 SIMスワップは、攻撃者が相手のSIMを乗っ取った後、そのSIMで受信できるSMSを使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃である。 別名「SIMスワップ(詐欺・攻撃)、SIMハイジャック(攻撃)」とも呼ばれる。 SIMスワップの典型的な海外の手口は、以下の流れで実行される。 攻撃者は攻撃対
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ
LINEヤフーへの不正アクセスについてまとめてみた - piyolog
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
credentialをSlackに書くな高校校歌 - freee Developers Hub
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
Google、「パスキー」を個人ユーザーのデフォルトに
良いUIUXは利益になる。スピードの裏にある日本と中国で異なるUI/UXデザインの考え方
無料で簡単に予約システムを作るには? 導入前に確認すべきポイントやおすすめツール - おなじみ丨近くの店から、なじみの店へ。
WordPressがハッキングされる理由に関する誤解とは?
「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
Amazonの二要素認証が突破される? 新手の詐欺が発生中
パスキーへ移行することで得られるメリットと課題
1Password、iOS版でパスキー対応 Androidも対応へ
「Google Chrome」でパスワードがダダ漏れに そのカラクリとは?
家で使っているルーターが乗っ取られて「ゾンビ」になる!? 気をつけることは
Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場
サイバー攻撃「SIMスワップ」のために従業員を買収する試みが確認されている
Googleが「SMSのセキュリティは穴だらけ」と批判する理由
トヨタグループ傘下保険会社のMicrosoftアカウントが漏えい、約25GBのメールや顧客情報が閲覧可能に
12月1日から「使われていないGoogleアカウント」削除が始まる(アスキー) - Yahoo!ニュース
「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い?
ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」
ニンテンドーアカウントがパスキー対応 パスワード不要でログイン可能に
パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
なぜ非対面の携帯契約で「マイナカード」が必須化されるのか--背景にある「SIM乗っ取り」問題
SIMスワップとは?具体的な手口と講じるべき対策 | サイバーセキュリティ情報局