AWS Startup ブログ スタートアップが AWS Amplify を使うべき3つの理由 こんにちは、スタートアップ ソリューションアーキテクトの水馬です。 今回のテーマは AWS Amplify です。 みなさん Amplify はご存知でしょうか? Amplify は AWS を使用したスケーラブルな Web およびモバイルアプリ開発のためのフレームワークです。近年の複雑化するアプリケーションでは多くの場合、複数の AWS サービスを組み合わせてサービスを構築する必要があります。開発者はバックエンドの構築に加え、これらと連携する多くのソースコードをアプリケーションに実装する必要がりました。 Amplify を用いれば、複雑なバックエンドの構築、アプリケーションとの統合を簡略化し、開発者は本質的な機能の開発に集中することができるようになります。 今回は、スタートアップ において、
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
1. はじめに システム運用管理部の河石です。情報システム部門、コーポレートIT部門と呼ばれるところにあたり、社内システムの構築、運用を行っています。 この記事ではコインチェックの2020年11月時点で導入しているセキュリティ製品を用いたゼロトラストモデルの実装、運用を整理した内容になります。少しでも参考になるものがあればと公開したいと思います。 読んでいただくにあたって、まずコインチェックの環境を書きます。 1.1 組織について 現在コインチェックでは正社員、派遣社員、業務委託などを含めて200人ほどの従業員がいます。20代が2割、30代が5割と比較的若い人が多い会社になっています。 社内システムに関わる部門はシステム運用管理部の他にサイバーセキュリティ部門、リスク管理部門があります。 システム運用管理部は5人で活動しており、セキュリティ製品の具体的な設定や運用を行っています。設定内容は
ドコモ口座を悪用した不正出金の被害額が約2000万円まで拡大しています。会見で「1日に約1万3000件の取引がある。既存顧客のサービスを止めると影響が大きい」としたドコモの丸山誠治副社長に対し「サービスを全面停止しなかったのは驚きだ」(ドコモの競合の通信大手幹部)「ドコモは(問題のサービスを)すべて停止すべきだ」(S&Jの三輪信雄社長)といった声も挙がっています。不正出金を防ぎ、人々からの信頼を取り戻すために、ドコモと金融業界、政府が取り組むべきことは何でしょうか。 推定される不正出金の要因ドコモ口座を悪用した不正出金が起こった原因は、ドコモと金融機関の双方に問題が指摘されています。まず当初ドコモとの加入者契約を前提としていたドコモ口座が、途中から電子メールアドレスの到達確認だけで開設できるようになり、そのことが提携行に伝えられていなかったようです。このため攻撃者が捨てアドレスを取得して、
概要 初期設定で有効化するサービス 更新履歴 ID管理 / 権限管理 (有料)CloudTrailの有効化 ルートアカウントのMFA設定 パスワードポリシーの設定 IAM User / IAM Groupの作成 IAM グループの作成 IAM ユーザの作成 MFA の有効化 (有料)GuardDutyの有効化 全リージョンで有効化する場合 (有料)AWS Config の有効化 (有料)Security Hubの有効化 請求 IAM Userによる請求情報へのアクセス許可 支払通貨の変更 Budget の設定 Cost Explorerの有効化 Cost Usage Report の出力 コスト配分タグの設定 その他 代替連絡先の設定 Trusted Advisorの通知設定 Personal Health Dashboard によるイベント監視 有効なリージョンの確認 【追加】準拠法/管
マイクロソフト・セキュリティ・レスポンス・センター(MSRC)が支援したセキュリティ調査により、アクセス数が多いさまざまなサービスに、ユーザーがアカウントを作成する前にアカウントをハッキングしておく「アカウント事前乗っ取り攻撃(account pre-hijacking attacks)」に対する脆弱(ぜいじゃく)性があることが判明しました。 Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web (PDFファイル)https://arxiv.org/pdf/2205.10174.pdf Account pre-hijacking attacks possible on many online services - Help Net Security
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。 ざっくり書くと、こうです。 その前にゼロトラストアーキテクチャを理解しよう シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。 情報セキュリティを実践する=IT環境をシンプルにす
AWS環境をセキュアにセットアップする方法と、その運用方法を詳細に紹介します。秘伝のタレである具体的な設定も書いてます。みんな真似していいよ! こんにちは、臼田です。 みなさん、安全にAWS使えていますか?(挨拶 今日は全てのAWSユーザーが安全にAWSを活用し、セキュアに運用できるようにナレッジを大量にダンプしたいと思います。 弊社サービスに関連させて書く部分もありますが、基本的にどのようなAWS環境でも適用できると思います。 ちょっと長い背景 クラスメソッドでは長いこと様々なAWSを利用するお客様を支援しています。私は特にセキュリティ周りについて支援させていただくことが多く、最近はAWSのセキュリティサービスが充実していることから、これらの初期導入や運用設計、あるいはインシデント対応やその後の組織としてのセキュリティ体制づくりなどいろんな関わり方をしてきました。 どのようにセキュリティ
![[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/75550513d830c21b153b85859fb4fdabd295d23d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Fsecurity-identity_Compliance.png)
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 前回はリモートワーク/在宅勤務/テレワークを成功させる鍵を考えてみました。 今回は私のロールに相応しく少しだけテックにまとめました。 リモートワーク/在宅勤務/テレワークに AWS を活用するパターンを考えてみました。 テレワークにAWSを活用するパターン サマリ Client VPN 【概要】 マネージドサービスの Client VPN を使用。 【可用性】 VPN サブネットを2つ Multi-AZ で用意。 【認証】 VPN の認証は Active Directory 認証と相互認証(証明書) の何れか。 Active Directory は既存の AD サーバーと接続も可能。 多要素認証も可能 (既存 AD の機能に依存)。 相互認証はエンドポイン
Google Cloud が、デジタル庁ガバメントクラウドの利用を促進するサーバレスの Web アプリケーション開発を支援 | Google Cloud 公式ブログ
Google Cloud が、デジタル庁ガバメントクラウドの利用を促進するサーバレスの Web アプリケーション開発を支援 デジタル庁ガバメントクラウドの利用を支援する Web アプリケーション「GCAS(Government Cloud Assistant Service:ガバメントクラウド活用支援サービス)」が開発され、Google Cloud は、クラウド サービスやアーキテクティングの面からこの構築をご支援しています。GCAS はデジタル庁内製主導で開発され、2023 年 4 月より提供開始されています。 ガバメントクラウド移行の本格化に向け、今後、省庁や 1,741 ある地方公共団体、準公共と呼ばれる領域からのクラウド利用申請が急激な勢いで増加していくことが予測されています。これを自動化・効率化し、デジタル施策推進を支援する仕組みが GCAS です。従来は必要な書類をメール添付な
クラウドを使う前に目を通してほしいもの Microsoft Learn Azure Service Healthの通知を受け取る Azure AD ID管理 権限の管理 特権ユーザーの管理 アプリケーション用ID Virtual NetworkのPrivate Link / Private Endpoint Azure Monitor Defender for Cloud Azure Policy または Azure Dev Test Labs Azure Cost Managementで支出を管理する 日本法人で作られた資料など Azureにはいろんなサービスがあるので未経験の人が使いはじめるのはなかなか難しくなってきました。特に初学者向けの研修といえばVM作るあたりから始めるのは仕方ないものの、それだけで本番作るとちょっと困る。そして最近新しく始める人からよく「これだけやっておけばいい
# ブラウザで認証後表示されたコードをペーストする Please type code:xxxxxxxxxxxxxxx sshでサーバにログインする際に、まず公開鍵認証が行われ、正解するとたーみなるに、このURLを開いてくれというメッセージが出ます。 https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=xxxxxxxx-xxxxxxxxxxx.apps.googleusercontent.com&redirect_uri=uxxxxx 上記の部分ですね。これをブラウザに貼り付けて、Googleの認証を超えると、あるコードが払い出されるので、それをターミナルに貼り付けると無事ログインできます。また、ログイン後はトークンが有効期限のうちは再度oAuthする必要はありません。 インストール方法 OAuth
なるべく楽したいAWSセキュリティ
Leaner 開発チームの黒曜(@kokuyouwind)です。 先日開催された AWS Starup Community スタートアップ事例祭り 〜監視・モニタリング・セキュリティ編〜 に登壇させていただき、「なるべく楽したい AWS セキュリティ」と題して Leaner Technologies での AWS セキュリティ設定事例を紹介しました。 今回は発表内容のポイントとともに、発表で省いた話をいくつか記事にまとめていきます。 発表スライド 口頭での補足を前提としたスライド構成になっているため、スライドのみだと少々分かりづらい部分があります。 発表時の動画がアップロードされているので、そちらをご覧いただくとよりわかりやすいです。 発表内容のおおまかなまとめ スライドだけだと分かりづらいし、動画だと見るのに時間がかかるなぁ… という方もいそうなので、発表内容のポイントを以下にまとめます
ハッキングAPI
Web APIは近年急速に利用が拡大しています。APIの呼び出しが全Webトラフィックの80%以上を占めるほど、Webサービスに欠かせない技術となっている一方で、Web APIに対するサイバー攻撃も急増しており、そのセキュリティ対策はあらゆる組織で重要な課題となっています。 本書の目的は、Web APIの基本をしっかり押さえ、脆弱性が存在しないかどうかテストする方法を示すことです。攻撃者(APIハッカー)の視点から、あらゆるAPI機能と特徴を活用するための知識を学ぶことで、これから起こり得る情報漏えいの危機を防ぐことができます。まず、WebアプリケーションやWeb API脆弱性の種類などの基礎知識を学んだのち、実際に検証用ラボを構築しながら、脆弱性の調査方法、ツール、さまざまな攻撃手法などを、実践的に解説していきます。Webアプリケーションで最も一般的なAPI形式であるREST APIのセ
こんにちは、つくぼし(tsukuboshi0755)です! 大変有難い事に、最近カジュアル面談の申し込みをいくつか頂き、実施させて頂いております。 カジュアル面談の中で、私がクラスメソッドに転職する前のAWSの勉強方法について、質問される場面が多々ありました。 元々私自身は、前職はオンプレミス専門のインフラエンジニアであり、また当時はAWS案件に参画した事がなかったため、AWSについては独学で勉強していました。 そこで今回改めて、私がクラスメソッドにAWSエンジニアとして転職する前はどのようにAWSを勉強をしていたか、また今振り返るとどのようにAWSを勉強するとより良かったか、まとめてみたいと思います! 対象読者 仕事で初めてAWSを触る事になり、AWSの勉強方法について知りたい方 仕事ではオンプレミスのシステムしか触れた事がないが、今後AWSを仕事で扱ってみたいエンジニアの方 私の経歴(
[追記] 2022/8/4 に Twilio がフィッシング攻撃で顧客データを漏洩しました。これが下で説明していたデータを預けるリスクです。 クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい - ITmedia NEWS クラウド電話APIサービスを手掛ける米Twilioは8月7日(現地時間)、4日に「高度なソーシャルエンジニアリング攻撃」を受け、一部の顧客アカウント情報に不正にアクセスされたと発表した。 最近驚いたのですが、どうもセキュリティ・プライバシーを重視する人たちは Twilio Authy から他のワンタイムパスワード(TOTP [Time-based One Time Password])ツールに移行しているようです。 TOTPは多要素認証としてよく使われるようになってきています。Google は2要素認証(2段階認証)によってアカウントへの侵入が
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大 代表的なIDaaSベンダの1つであるOktaは、開発者向け施策拡大の一環として無償利用の範囲を拡大した「Okta Starter Developer Edition」の提供開始を発表しました。 Today at #Oktane21, we announced our new reimagined developer experience. Developers need tools that put security at the forefront while seamlessly integrating with any hybrid, cloud, or multi-cloud environmen
経路1 WEBサイト閲覧・誘導による感染不正なコードが埋め込まれたWebサイトを閲覧することで、マルウェアに感染することがあります。また、官公庁や企業などの正規のWebサイトが第三者によって改ざんされ、閲覧者が気が付かないうちに不正なサイトへ誘導される事例もあります。以下のような怪しいウェブサイトにはアクセスしないことをお勧めします。 ・電子掲示板やSNS上のリンクには特に注意する。 不特定多数がアクセスするため、むやみにリンクをクリックしないように気を付けましょう ・SSL証明書を利用していないサイトには注意する。 (例: 鍵アイコンとHTTPS:// で始まるものではなく HTTP:// で始まるサイト) 経路2 メールの添付ファイルやURLクリックによる感染安全だと思った電子メールの添付ファイルやWebサイトのリンクをクリックすると、マルウェアに感染するというのはニュースなどでもよ
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
自己紹介 牧田誠氏(以下、牧田):それでは対談に入っていきたいと思います。川口さん、ルスランさんお願いします。 川口洋氏(以下、川口):はい。自己紹介です。私は川口設計という会社を経営しています。川口です。何だかんだでイエラエの顧問をやっていて、お付き合いがあります。私はともかくとして、みなさんはルスランさんのお話を聞きたいと思うので、ルスランさんよろしくお願いします。 ルスラン・サイフィエフ氏(以下、ルスラン):GMOサイバーセキュリティ byイエラエのオフェンシブセキュリティ部 部長と執行役員をやっているルスランと申します。私と私たちの部という意味では、ペンテストやアプリケーションセキュリティを随時やっています。 川口:今日は3つのテーマを用意しているので、いろいろとルスランさんに聞いていきたいなと思います。(スライドを示して)ペンテスターであるルスランさんから見た最近のセキュリティの
新政権のデジタルガバメント構想の一環として、マイナンバーが日本でも再び注目を集めている。健康保険証や免許証との一体化や、銀行口座との紐づけなどを通して、国民IDとしての機能強化を目指す方向だ。 マイナンバーは、その仕組みの複雑さと不便さ、セキュリティに対する漠然とした不安、国家による監視強化への恐怖など、様々な観点と相反する国民感情が混然一体となるトピックであるため論点を整理しにくい。本稿は、このマイナンバーについて、米国の(実質的な)国民ID制度であるSSN(Social Security Number:社会保障番号)を参照点として理解を深めてみようという趣旨のテキストである。特に、国民IDのセキュリティの要衝である認証(本人確認)にフォーカスする。「マイナンバーとマイナンバーカードの違いってなに?」とか「なぜマイナンバーは他人に知られても大丈夫なの?」という素朴な疑問にも、認証における
個人情報が渡らない匿名実在認証システムがほしい
マイナポータルハッカソンなるものをデジ庁がやるらしいのだが、それを見ていて思ったやつを一つ。 https://www.digital.go.jp/policies/myna_portal/hackathon/ 個人情報を相手に渡さない個人認証システム、匿名実在認証システム、みたいなの誰か作ってくれないか。 個人情報扱わないOAuthみたいな感じで手軽に使える奴を。 概要アカウントを作るときにマイナポータルでマイナカード認証させるマイナポータルで認証すると、マイナポータル側では任意の一意のトークンを発行する。 このトークンは以下のような性質を持つ。 マイナポータルが発行したことは保証される認証するサービス相手ごとに全く違うトークンになる。故にサービスを跨いでの名寄せはできない。認証が破棄されるまで、同じ人が同じサービス向けに発行すると毎回同じトークンになる 非可逆的で、一方的。トークンから元
あけましておめでとうございます、@1000chこと泉水翔吾です。2019年に続いて、2020年のWeb標準技術について寄稿します。今年は、Webコンテンツの配信の形を拡張するWeb PackagingとWebにおける認証の形を変えるWeb Authenticationについて取り上げます。 Web Packagingを使った新たなコンテンツ配信の形 現在Web Packagingという仕様の策定が進んでいます。Web Packagingは、Webのコンテンツの可搬性を高める技術仕様で、コンテンツを配布元が署名して改ざんされていないことを保証したり、複数のリソースを一つにまとめたりすることを実現します。Web Packagingは以下の3つに分類されます。 Signed HTTP Exchanges:単一のHTTPリクエストとレスポンスに対して署名する Web Bundles(旧Bundle
Microsoft では、コントロール プレーンとして ID を利用した多層防御原則により、実績のあるゼロ トラスト セキュリティへのアプローチを成功させてきました。 組織はスケール、コスト削減、セキュリティを追求し、ハイブリッド ワークロード環境を受け入れ続けています。 Microsoft Entra ID は、ID 管理の戦略において非常に重要な役割を果たします。 最近では、ID とセキュリティの侵害に関するニュースにより、企業の IT 部門は、ID セキュリティ態勢を、防御的セキュリティ成功の指標として捉えるようになりました。 さらに組織はオンプレミスとクラウドのアプリケーションを組み合わせて使用する必要があり、ユーザーはそれらのアプリケーションに、オンプレミスとクラウド専用の両方のアカウントでアクセスします。 オンプレミスとクラウドの両方でユーザー、アプリケーション、デバイスを管理
Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 | Amazon Web Services
Amazon Web Services ブログ Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 はじめに AWS では、サービス毎にセキュリティのベストプラクティスを公式ドキュメントとして提供しています。本記事では AWS を利用したシステムのセキュリティの検討や実装に関わる皆様を対象に、AWS の代表的なストレージサービスである Amazon Simple Storage Service (S3) を題材にとりあげて、公式ドキュメントで紹介しているベストプラクティスの実装方法をできるだけ具体的に解説したいと思います。 IT セキュリティにおいては、一つの脆弱性や悪意がセキュリティ事故に直結しないようにシステムを多層的に保護する事が重要です。AWS においても、サービスが提供する機能を適所でご利用いただければ多層化されたセキュリティ保護策を、クラウ
【4月16日10時更新】サービス一時停止の調査報告とパスワード変更のお願い | Classi(クラッシー) - 子どもの無限の可能性を解き放ち、学びの形を進化させる
【4月16日10時更新】⽣徒様、保護者様向けの窓⼝の回線を増設いたしました。 【4月15日14時更新】⽣徒様、保護者様向けの窓⼝の回線を増設いたしました。 2020年4月13日 Classi株式会社 Classiご利用の皆様へ サービス一時停止の調査報告とパスワード変更のお願い 平素より、Classiをご利用いただき誠にありがとうございます。 Classiの障害調査のため、ご利用いただけない期間をいただきましたが、調査の結果、外部からの不正アクセスがあったことが判明いたしましたので、ご報告させていただきます。ご迷惑ご心配をおかけし、誠に申し訳ございません。 この不正アクセスにより閲覧された可能性があるものは、お客様がご利用中のClassiを利用するためのID、暗号化されたパスワードの文字列(※パスワード自体は対象ではございません)と先生方の任意で記入いただいた自己紹介文となっております。
米国当局、UPSをインターネットから外すよう呼びかけ
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)とアメリカ合衆国エネルギー省(DOE: United States Department of Energy)は3月29日(米国時間)、「CISA INSIGHTS - Mitigating Attacks Against Uninterruptible Power Supply Devices」において、無停電電源装置(UPS: Uninterruptible Power Supply)の管理インタフェースをインターネット接続から外すように呼びかけを行った。 最近のUPSはネットワークから利用するための管理インタフェースを備えている。しかし、これがサイバー攻撃の標的になっているという。標準のユーザー名および
1passwordのアイテム編集画面で、フィールドタイプを眺めててふと思った。「ワンタイムパスワードってあるけど、これ、AWSで多要素認証するときの『仮想MFAデバイス』に使えるのでは」と。結論から言えば、使えた。快適。でもこれは多分「人をダメにするナントカ」的な快適さだ。やっちゃいけないやつだ。 AWSでは、AWSアカウントの管理者であるrootユーザー(メールアドレスでログインする人)と、利用者であるIAMユーザー(ユーザーIDでログインする人)のどちらでも、多要素認証(MFA:Multi-Factor Authentication)を設定して認証を強化できる。 認証方法はパスワード認証+ワンタイムパスワード(当人が知っていること+当人が持っているもの) ワンタイムパスワードの生成には、専用のデバイスであるU2FセキュリティキーやハードウェアMFAデバイス、スマホアプリである仮想MFA
セキュリティ主要7分野・脅威の進化と対応 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちは、技術広報の菊池です。 セキュリティの確保は技術的な課題にとどまらず、お客様の満足、さらには企業の存続に直結する重要なトピックスです。 私たちSaaS企業も例外なく、常に変化する脅威にさらされており、日夜対策のアップデートが求められますので、 私も自身の理解を深めるためにキーワードと各分野の歴史をまとめてみました。 本記事で取り上げるセキュリティ主要7分野では、新しい技術の登場と共に、新たな脅威が絶えず発生し、その対策の進歩も伺えました。 今回は、アプリケーション、ネットワーク、エンドポイント、データ、クラウド、アイデンティティとアクセス管理、インシデント対応と復旧のセキュリティについて、 その概要と1980年代〜現代に至るまでの歴史、脅威と対応策の進化を総括しました。全てはカバーしきれませんでしたが、代表的なツールも紹介しています。 それぞれの分野では個別の発展があり
二段階認証の仕組みと導入時におさえておきたい対策 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちはこんばんは! 昨今、セキュリティへの関心が非常に高まっています。 二段階認証を取り入れる企業が多くなってきました。 最近の例で言うと、Githubが2023年3月ごろに二段階認証を義務化したのは記憶に新しいと思います。 そこで、今回は認証の基礎知識をおさらいした上でTOTPを使った二段階認証の仕組みと導入時の注意点について解説します! ※本記事の内容は、ビアバッシュ(社内の技術共有会)にて登壇発表した内容です。 ビアバッシュの取り組みについては以下の記事を読んでみてください! tech-blog.rakus.co.jp はじめに 基礎知識 二要素認証とは? 二段階認証とは? 二要素認証と二段階認証の違い ワンタイムパスワードとは? HOTPとTOTPについて HOTPとは? TOTPとは? TOTPの時刻ズレ対策 導入編 TOTPの時刻ズレ対策の実装 TOTPの注意点
まずはここから 大学生活に必要な情報システムの準備について(新入生向け) 東京大学における情報システムの準備について(教員向け) オンラインを活用するために サポート窓口 ピックアップ 東京大学で初めて授業をする先生のためのITツール説明会(2024/03/11) 東京大学でITツールをもっと活用するための説明会(2024/03/15) UTokyo Accountにおける多要素認証の利用について 生成AI(ChatGPT等)関連情報 Googleドライブ OneDrive 授業にあたって 授業URLの連絡方法(教員向け) 授業におけるZoom会議室の入室制限(教員向け) Zoomの追加ライセンス(301人以上のミーティング・ウェビナー) 授業URLの連絡方法(学生向け) オンライン授業への入室方法(学生向け) オンライン授業の受講に利用可能な教室の一覧 新着記事 クラウドストレージを用い
Office 365のアカウントを多要素認証すら回避して乗っ取るAiTMフィッシング攻撃が1万以上の組織を標的にしていたとMicrosoftが公表
Microsoftのセキュリティ研究チームが、HTTPSプロキシ技術を使ってOffice 365アカウントを乗っ取る大規模なフィッシング攻撃キャンペーンである「Adversary-in-the-Middle(AiTM)」が確認できたと発表しました。この攻撃は多要素認証を回避することが可能で、2021年9月以来1万以上の組織が標的になっているとのことです。 From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-ait
技術書典8で頒布予定でした。 ## 概要 ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。 ## 本書の目的 「認証サービスCognito Auth0 Firebaseを比べる」を手にとっていただき、ありがとうございます。筆者はこれまで、CognitoUserPoolsを利用してオンプレミスで実装されていた認証システムの移行や、Keycloakを利用したシステムの構築を担当してきました。そのなかで、認証の機能を提供するサービスは数多くあるにもかかわらず、サービスを比較するような情報があまりないと
MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。(大元隆志) - エキスパート - Yahoo!ニュース
MS365でMFAの効かないIMAP等がパスワードスプレー攻撃で狙われている(写真:Panther Media/アフロイメージマート) 三菱電機が契約しているMS365に不正アクセスが発生した。このニュースを見て「我社のMS365はMFA(多要素認証)を利用しているから大丈夫」と思った人も少なくないだろう。しかしMS365に対する不正アクセスの多くはMFAをバイパスするIMAP等が狙われている。 ■基本認証と先進認証 MS365には大きく分けて二種類の認証方式が存在し、先進認証と基本認証と呼ばれている。主にMS365にアクセスするクライアントによって使い分けられる。 ・先進認証 IE/Chrome/Safariなどのウェブブラウザから、MS365にアクセスする場合や、先進認証対応のMS365アプリからアクセスする場合に利用される認証方法。MFA等が利用出来る。 ・基本認証(レガシー認証)
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャンツールで WebAuthnを使ったログイン処理をどうやって再現するかが悩ましく感じました。 もちろん、2022年2月時点でほとんどの(筆者の知る限りではすべての)Webサイトで WebAuthn を始めとする多要素認証はオプション扱いです。 多要素認証のフローそのものの診断を要望されない限りは、従来のID/パスワード認証によるログイン処理でスキャンや手動診断が可能です。 とはいえ転ばぬ先の杖と言いますし、診断ツールを開発している筆者として
暴露サイトに、富士通から流出したとみられるデータが複数掲載されていることが2021年8月26日までに分かった。顧客のものと思われるシステム関連データで、データベース設計書やシステム管理設計書などが含まれる。 セキュリティー問題に詳しいS&Jの三輪信雄社長によると、暴露サイトに情報が掲載されたのは8月25日ごろ。流出したデータは4GB(ギガバイト)で、そのうち解凍後で56MB(メガバイト)分が証拠としてさらされているという。ファイルの中には、東レなどの名前が含まれていた。「仮に正式なデータであれば、サイバー攻撃に悪用される恐れのある重要な情報が流出している」と三輪社長は指摘する。流出経路などは分かっていない。 富士通広報は「暴露サイトに当社からの入手を示唆した情報が掲載されていることは把握している。情報の入手元が当社であるか否かを含め詳細は現時点で不明。詳細の回答は控える」とした。東レ広報か
ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog
2020年8月4日、ZDnetはハッキングフォーラム上で900を超える脆弱なVPNサーバーから取得した認証情報が公開されたと報じました。ここでは関連する情報をまとめます。 www.zdnet.com 何が起きたの 900件以上のVPNサーバー(Pulse Connect Secure)のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレス。 ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性がある。 影響を受けたサーバーの場合、ファームウェア更新だけでなく、パスワード変更やセッション破棄を即行う必要がある。 1年以上前に修正された脆弱性悪用か データ窃取のために悪用された脆弱性は2019年4月に修正されたPulse Connect Secureの脆弱性CVE-2019-11510とみられる。 Bad Packetsの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スタートアップが AWS Amplify を使うべき3つの理由 | Amazon Web Services
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
コインチェックにおけるゼロトラストモデル - coincheck tech blog
ドコモ口座 信頼回復へ向け業界が取り組むべきこと(楠正憲) - エキスパート - Yahoo!ニュース
AWS アカウントの初期設定 - それ積んどく?
Instagram・Zoom・LinkedInなどでアカウントの「事前ハイジャック」が可能な脆弱性が発見される
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
2021年IPA10大脅威とゼロトラスト | ロードバランスすだちくん
[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO
SMS OTPの自動入力によるリスクとその対策
リモートワーク 在宅勤務 テレワークにAWSを活用するパターン集 | DevelopersIO
Azure始める人向けに見てほしい資料など - kkamegawa's weblog
SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する | ten-snapon.com
オンプレミス専門のインフラエンジニアに捧ぐAWS学習法 | DevelopersIO
認証アプリ「Authy」の安全性を危惧する声。何が問題なのか。Authyに登録したトークンをエクスポートして移行する方法
【マルウェアの代表的な6つの感染経路別】多層防御アプローチによる対策一覧まとめ
ゼロトラストは攻撃者から見たら実はセキュアではない ペンテスターの目線から考える、監視システムの現状
米国からマイナンバーを擁護する ー あるいはフラットモデルの災厄について|ミック
2020年のWeb標準 | gihyo.jp
Microsoft Entra セキュリティ運用ガイド - Microsoft Entra
AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita
オンライン授業・Web会議 ポータルサイト @ 東京大学
認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH
WebAuthnをエミュレートするWebアプリの開発 - セキュアスカイプラス
富士通から新たな情報流出か、暴露サイトにシステム関連データ