パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは? 弱点はエンジニアの自宅PC
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。 攻撃者はまず、盗んだ情報や外部から入手した情報を悪用し、エンジニアの自宅PCを侵害して入手したパスワードで多要素認証を突破。これを踏み台としてLastPassに2段階目の攻撃を仕掛けて暗号化されたクラウドストレージに侵入し、顧客データを盗み出していた。 同社のブログによると、最初の攻撃が発覚したのは22年8月だった。社内の開発環境で異常な挙動を検出。調査した結果、開発者のアカウントが侵害されており、開発環境に不正アクセスされ、ソースコードや技術情報が盗まれていたことが分かった。 翌月には、米大手セキュリティ企業Mandiantの協力を得て8月の事案に関する調査を完了したと説明。不正アクセスされた開発環境は、本番環境とは
クラウドソフトウェアの認証やセキュリティに関するさまざまなソフトウェア開発を行うOryは2023年7月13日、同社が開発するオープンソースのユーザ認証、管理システムであるOry Kratosのv1.0.0をリリースした。 Ory Kratos https://github.com/ory/kratos Ory KratosはAPIベースのID/ユーザ管理システム。セルフサービスのログインと登録、多要素認証(MFA/2FA)、アカウント検証、アカウント回復など、ほとんどすべてのアプリケーションが対応する必要のある一般的な機能が実装されている。APIのみのヘッドレスであるため、開発者が自分でUIを構築する必要がある。またデータベース以外の外部依存関係がなく、さまざまなクラウド環境でのデプロイと拡張が簡単に行えるのが特徴。ほとんどのOS上でビルドできるほか、Linux、macOS、Windo
パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワードを使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。一体、どんなサービスなのだろうか。 知識情報と所持情報の組み合わせ パスワードだけのユーザー認証では容易に破られてしまうとして、認証時に複数の情報(認証要素)を使う多要素認証が推奨されている。2つの認証要素を使う多要素認証は2要素認証と呼ばれる。 2要素認証としては、パスワードとワンタイムパスワードを使う方法がよく採用されている。あるサービスにログインしたいユーザーは、ユーザーIDとパスワードを入力する。 するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がサービスからSMSなどで送られる。このワンタイムパスワードを入力すると
[アップデート] AWS Cloud9 がまた少し便利になりました (CloudWatch Logs、S3、インスタンスプロファイル) | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Cloud9 で新たな機能が使用できるようになりました。 3 つ……ないし 2 つの機能が増えています。(どちらなんだ。) 何ができるようになったか 冒頭のブログを確認すると、以下のように説明されています。 AWS Cloud9 introduces 3 new features, including support for CloudWatch Logs, S3 and EC2 instance profiles. Cloud9 users can now list their log groups and view log streams instantly without leaving their IDE. In addition, the S3 integration has improved performance in VPCs and
![[アップデート] AWS Cloud9 がまた少し便利になりました (CloudWatch Logs、S3、インスタンスプロファイル) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/800913af626da87d98d328099e75aa33be2f1ad1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-cloud9.png)
PCやスマートフォンからウェブサービスにログインする時に、個人を証明するための方法としてIDとパスワードを入力するのが一般的です。しかし、ただの文字列を入力するだけである従来のパスワード方式は、流出したり総当たり攻撃で解析されたりとセキュリティリスクが高く、近年は生体認証や物理セキュリティキーを使ったパスワードレスの認証方式が登場しています。それでもパスワードレスへの移行は、遅々として進んでいません。 Why the password isn’t dead quite yet | Ars Technica https://arstechnica.com/information-technology/2021/07/why-the-password-isnt-dead-quite-yet/ パスワード入力は、セキュリティ上で大きな懸念になることは間違いありません。パスワードの作成や管理は非常
2022年9月の、これだけは押さえておきたいWeb関連の動き
「Web系の最新情報を知りたいけど、日々業務が忙しくて追いかけられない」という方のために、1ヶ月のWeb系ニュースの中で「これだけは押さえておきたい」というものを1つの記事にまとめています。 デザイン AdobeのFigma買収とAdobe XDのこれから 9月の大きなニュースは、やはりAdobeによるFigma買収だと思います。このブログでも記事にしています。 関連: Adobe、Figmaを約2.9兆円で買収へ デザインコラボツール大手 フォトショップの作業が楽になる、覚えておきたい小技テクニック18選 とても有益ですが、レイヤーの複製はoption+ドラッグではなくcommand+Jの方が速いと思います。 ちょうどいいWebデザインギャラリー そのWebサイトのいいところが言語化されているギャラリーサイトです。 Screen Sizes iPhone・iPadなどのスクリーンサイズま
AWS Amplify が効果を発揮する Next.js の 5 つの機能 | Amazon Web Services
Amazon Web Services ブログ AWS Amplify が効果を発揮する Next.js の 5 つの機能 Next.js は、React アプリのサーバーサイドレンダリングと静的サイト生成を可能にする、人気の React フレームワークです。フロントエンドの Web およびモバイル開発者が AWS 上で迅速かつ容易にフルスタックアプリケーションを構築できるようにする目的で構築されたツールおよび機能のセットである AWS Amplify と組み合わせると、開発者は本当に強力なアプリを構築することができます。 本記事では AWS Amplify が効果を発揮する Next.js の 5 つの機能を紹介します。 1. データフェッチと API Next.js は静的サイト生成(SSG)、サーバーサイドレンダリング(SSR)、クライアントサイドレンダリング(CSR)、インクリメン
2016年のアメリカ大統領選挙では、民主党候補だったヒラリー・クリントン氏の選挙対策責任者を担当したジョン・ポデスタ氏のメールが流出するなどのサイバー攻撃が起きましたが、2020年のアメリカ大統領選ではこれまでのところ大規模なサイバー攻撃の被害は報告されていません。この理由についてアメリカのニュース専門放送局・CNBCは、「物理的なセキュリティキー」の採用が大きかったのではないかと述べています。 Physical security keys protected 2020 election campaigns against leaks https://www.cnbc.com/2020/12/23/physical-security-keys-protected-2016-election-campaigns-against-leaks.html 2016年、ロシアと関連があると推測される
デジタルペンテストサービス部の小松です。 近年、リモートワークの推進や組織のゼロトラスト化に伴い、Azure Active Directory(以下、Azure AD)を認証基盤として活用する企業が増えています。Azure ADを活用することで、シングルサインオンによるアカウント管理の簡略化や多要素認証によるアカウントの保護が可能となります。 しかし、Azure ADのセキュリティ設定が適切に行われていない場合、有効にした多要素認証を回避されてしまう恐れがあります。実際にラックが提供するペネトレーションテストでは、Azure ADの設定不備に起因する多要素認証回避の問題を検出しています。 組織のAzure AD管理者は、今一度Azure ADのセキュリティ設定をご確認ください。 設定の確認が必要な組織 本記事で取り上げる問題について、該当する可能性がある組織は以下のとおりです。 Micro
はじめに AWSを学習していると、認証と認可という言葉がでてきます。特にIAM(AWS Identity and Access Management)によって権限を管理する際に、この考え方はとても重要になりますが、初心者である私はこれまで認証と認可の違いについて意識してこなかったため、理解するのが難しいと感じました。エンジニアの方に具体例を教えてもらい分かりやすかったので、自分でも身の回りにある認証と認可について考えてみました。 認証と認可とは 認証とは 「あなた誰?」を確認します。 本人確認書類、IDとパスワード、顔認証、指紋などの生体認証などを用いて、あなたが誰であるのかを特定するのが認証です。 認可とは 「何の権限持ってる?」を確認します。 条件を満たすことにより、許可を与えられます。 日常にある認証と認可 日常にも認証と認可はあります。身近な例についていくつか考えてみました。 運転
Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進 (国際版の日本語訳)
Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進 (国際版の日本語訳)より速く容易で安全な認証をコンシューマー向けに主要なデバイスやプラットフォームに提供 2022年5月5日、カリフォルニア州マウンテンビュー – すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium(以下、W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。この新機能により、ウェブサイトやアプリケーションは、コンシューマーに対してデバイスやプラットフォームを問わず一貫して、安全かつ容易なパスワードレス認証を提供できるようになります。 パスワードのみによる認証はウェブにおける最
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
AIブームで声で人をだます犯罪も増加か 闇サイトでは音声クローンサービス「VCaaS」が台頭:この頃、セキュリティ界隈で AIを使って音声を合成する音声クローン技術が、人をだましたり偽情報を拡散させたりする目的で悪用される危険が強まっている。闇サイトでは、そうした悪用に手を貸すサービスも台頭しているという。 音声クローンを利用すれば本物そっくりの音声を合成することができ、ディープフェイク動画などと組み合わせて偽情報をもっともらしく見せかけられる。過去にはアメリカのバイデン大統領や女優エマ・ワトソンといった有名人の偽音声が出回ったこともあった。 そうしたツールを使って合成した音声は質が高く、本物か偽物かの区別がつきにくい。有名人の声で差別発言や暴力的な発言を拡散すれば、情報操作や情報かく乱に結び付くこともある。 サイバーセキュリティ企業の米Recorded Futureは、闇サイトでの会話を
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。 このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。 例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多くの企業がセキュリティー対策の1つとして導入している。この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。 だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」
多要素認証の実装が簡単になるぞ!AWS Client VPN で SAML ベースのフェデレーション認証がサポートされました。 | DevelopersIO
多要素認証の実装が簡単になるぞ!AWS Client VPN で SAML ベースのフェデレーション認証がサポートされました。 先日のアップデートで AWS Client VPN で SAML 2.0 経由のフェデレーション認証がサポートされるようになりました。 AWS Client VPN で SAML 2.0 経由のフェデレーション認証のサポートを開始 記事を書いてたところ、島川の記事がすでにあがってることに気づきましたが、このまま進みます。Okta側の設定など島川の記事のほうが丁寧に記載されていますので、あわせてお読みください! 何がうれしいのか これまで AWS Client VPN では 「Active Directory 認証」およびクライアント証明書を利用する「相互認証」に限られていましたが、あらたに SAML 2.0 ベースの「フェデレーテッド認証」がサポートされました。こ
デジタル庁: 官公庁のガバメントクラウド利用申請システムを Cloud Run、Firestore でフル サーバーレスに実現 | Google Cloud 公式ブログ
デジタル庁: 官公庁のガバメントクラウド利用申請システムを Cloud Run、Firestore でフル サーバーレスに実現 「デジタル社会の形成に関する内閣の事務を内閣官房と共に助け」、その「行政事務の迅速かつ重点的な遂行を図る」(デジタル庁設置法より)ことを任務として 2021 年 9 月に設立されたデジタル庁。行政のデジタル変革を推進する役割のほか、国の情報システムの一部を預かり、利便性を高めた形で国民に提供するという役割も担っています。そんなデジタル庁で 2022 年 12 月からスタートした Google Cloud を用いたガバメントクラウド利用申請システムのプロジェクトについて、同庁クラウドユニットの皆さんに伺いました。 利用しているサービス: Cloud Identity, Cloud Run, Firestore, Cloud Logging, Cloud Monito
ブラウザのパスワード保存機能は使っても大丈夫か?
Malwarebytesは11月2日(米国時間)、「Should you allow your browser to remember your passwords?|Malwarebytes」において、ブラウザにパスワードを記憶させるべきか否かについて説明した。一般的に認証に用いるパスワードは強力で一意なものが推奨されており、比較的安全にこれを実現するためにパスワードマネージャが利用される。ブラウザにもパスワードマネージャと呼ばれるパスワードの管理機能があるが、Malwarebytesはこのブラウザのパスワードマネージャの是非について考察している。 Should you allow your browser to remember your passwords?|Malwarebytes Malwarebytesはブラウザのパスワードマネージャのメリットとデメリットとして、以下を挙げてい
「カスタマイズ可能なホーム画面、マルチモニターのサポート、USBリダイレクトにより、生産性が向上する。多要素認証などの高度なセキュリティ機能により、クラウドPCへのシームレスで堅牢(けんろう)な接続を保証し、いつでもどこでも安全かつ効率的に作業できる」と、Microsoftは述べている。 Microsoftは、Windows Appの正式版提供で何が変わるのか、プラットフォームごとに次のように説明している。 Windows Appの正式版提供開始で何が変わるのか 関連記事 Windows 11のスタートボタンが中央にあるのは嫌なので、左側に移動する Windows 11で[スタート]ボタンの位置が中央になったことに不満がある人も多いようだ。このような場合、Windows 11の設定を変更したり、フリーソフトウェアを使ったりすることで、[スタート]ボタンを左側に移動させることが可能だ。特にフ
ゼロ ハイプ
本記事は、 2019 年 12 月 30 日に Azure Active Directory Identity Blog に公開された記事 (Zero Hype) を翻訳したものです。原文は こちら より参照ください。 Ignite では、製品マーケティングを統括する同僚の Nupur Goyalstatus (@nupur_11) に加え、Azure Security Center や Microsoft Cloud App Security、およびユーザー向け Azure ATP などのプログラム マネジメントを統括する Yinon Costca (@c0stica) を含めて、ゼロ ハイプ と題する発表を行いました。ゼロ トラストのような概念は、あいまいなまま理解していては役に立ちません。この用語は長年にわたり話に上がってきましたが、私が話をした人の間では、この用語にはまだ一貫性や明
2020年12月にハッカー集団の「UNC2452」が多数の政府機関に対して大規模なサイバー攻撃を仕掛けたことが発覚しました。さらに、このサイバー攻撃によって盗み出されたとされるWindowsのソースコードが売りに出されており、社会に大きな影響を与えています。このUNC2452による攻撃の詳細な手法について、大手セキュリティ企業のFireEyeが解説し、対策ツールを無料公開しています。 Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 | FireEye Inc https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
こんにちは。チャージ式プリペイドカードと家計簿アプリがセットになったサービス、B/43のサーバサイド開発をしている@ohbaryeです。 はじめに 唐突な問ですが、読者諸兄はECサイトでカード決済を行う際に本人認証を求められたことはあるでしょうか?弊社のようなカード会社のブログを読まれる方であれば人生で一度は経験しているのではないかと推察します。 この仕組みは3Dセキュアと呼ばれる本人認証サービスで、カードの盗用やなりすましなどの不正利用の防止を目的としてつくられたものです。近年では不正利用防止だけでなく消費者の利便性向上に寄与するシーンも増え*1、B/43にも多くのユーザーさんから3Dセキュア対応の要望がありました。B/43はその要望にお応えして2022年の6月に3Dセキュアに対応したカードをリリースしました。 本記事では筆者が3Dセキュアの開発・運用を通じて学んだ、3Dセキュアの仕組み
最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。 こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについて紐解いて行きたいと思います。 情報セキュリティとは 皆さんご存知のように、情報セキュリティとは、アクセスを認可された者だけが、情報にアクセスできることを確実にする「機密性」、情報および処理方法が正確であることおよび完全であることを保護する「完全性」、認可された利用者が必要な時に情報および関連する資産にアクセスできることを確実にする「可用性」の3つの概念によって構成されています。その目的は「情報」を守る
VPNに注意、マルウェアの侵入経路になっている
zscalerは1月7日(米国時間)、「Remote Access VPNs Have Ransomware on Their Hands|blog」において、VPNがサイバー攻撃の標的になっており、VPNを経由してネットワーク内部へマルウェア感染などが行われていると指摘した。パッチの適用されていないVPNサーバが攻撃の入り口になっていると説明しており、注意を呼びかけている。 zscalerは「どこからでもリモートアクセスができるVPNは、導入された30年前は先見の明のある革新的なものだった」と説明。当時は、ほとんどのアプリがデータセンターで実行されており、複数のネットワークアプライアンスでVPNアクセスを制御でき、保護機能も現実的なものだったとしている。 Remote Access VPNs Have Ransomware on Their Hands|blog しかし現在、サイバー攻撃
ゼロトラスト導入指南書(本書)
ICSCoE TLP: WHITE ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜 2021 年 6 月 独立行政法人 情報処理推進機構 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト 1 はじめに 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド 活用の増加により,社外から社内システムに接続する機会が増えてきている。 現状のセキュリティ対策は,境界型防御が主流であり,社内を信用できる領域,社外を信用できない 領域として外部からの接続を遮断している。しかし,上記の社会変化から,社内のシステム環境へ社外 から接続するということが行われていることから,境界型防御で考えていたセキュリティモデルではサイ バー攻撃の脅威を防ぎきれない状況になってきている。 また,標的型メールによる
携帯電話やスマートフォンの電話番号を利用してテキストメッセージを送受信できるショートメッセージサービス(SMS)は、友人などと連絡する際に使うことができるだけでなく、ネットサービスやアプリの多要素認証にも使用されます。ところが、ハッキングやプライバシー問題を手がけるジャーナリストのJoseph Cox氏が、「たったの月額16ドル(約1700円)のサービスを利用したハッカーにSMSが乗っ取られてしまった」と報告しています。 A Hacker Got All My Texts for $16 https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber Companies can silently reroute your texts to hackers, sometimes fo
「Windows 365」はWebブラウザで使えるWindows 10/11 Microsoftが8月2日に提供開始
Microsoftによる説明は「Windowsでお使いのアプリ、コンテンツ、設定を安全にMicrosoftクラウドから任意のデバイスへストリーミングします」となっている。 これまでもリモートでWindows環境を使う方法として仮想デスクトップサービスがあったが、「Windows 365は、様々な理由で仮想化を実現できなかった組織に、本当に大きな違いを生むだろう」とMicrosoft 365のジェネラルマネジャー、ワングイ・マッケルビー氏は語った。 コロナ禍でリモートワークが日常化する中、同社のクラウドサービスの利用は急増しており、Windows 365はこうしたニーズに対応するものだ。なお、仮想化の経験を持つ組織のための「Azure Virtual Desktop(旧「Windows Virtual Desktop)」の提供も並行して続ける。 Windows 365はAzure Virtu
現代において、携帯電話番号とスマートフォンの組み合わせは本人確認の重要な“要素”で、特にスマートフォンは新たな本人確認デバイスとして今や必要不可欠です。 例えばセキュリティ強化を目的とする「多要素認証」は利用者の「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせます。記憶に頼るパスワードは「知識情報」ですが、使い回しや漏えいによってもはやこれだけに頼るのは危険です。そのため、かつてのワンタイムパスワードは専用のトークンを物理的に配布し、これを「所持情報」として多要素認証を実現していました。今ではこれをスマートフォンのアプリとして配布し、個人を特定するものとして電話番号が利用されています。 日本で流行の兆しをみせる「SIMスワップ」に要注意 その実態とは? しかし最近、こうしたスマートフォンでの認証方式を脅かす非常に悩ましい事件が日本で発生しました。2022年10月16日に神戸
Microsoft Teamsの認証トークンが平文で保存されていることからアカウント乗っ取りの危険性があると研究者が警告
オンラインビデオ会議ツール「Microsoft Teams」のデスクトップアプリで、認証トークンや多要素認証(MFA)をオンにしたユーザーアカウントに攻撃者がアクセスできる深刻なセキュリティ脆弱(ぜいじゃく)性があることが分かりました。 Undermining Microsoft Teams Security by Mining Tokens https://www.vectra.ai/blogpost/undermining-microsoft-teams-security-by-mining-tokens Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-
全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。 全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。従来の「フィッシング」詐欺は、メールやショートメールから不正サイトにリンクさせて個人情報を入力させる手口。一方で、メール内の不正サイトへのURLリンクをQRコードに置き換えたケースは「クイッシング」とも呼ばれ、情報セキュリティ会社は警戒を呼びかけている。 決済情報の入力を要求 学習院大は、2023年5月から配布している「大学案内2024」に掲載されていた「受験生応援サイトintro!」のQRコードが、不正なリンク先に転送されていることが判明したと10月30日に発表。正しいURLを直接入力す
MicrosoftがMac・iOS・iPad・Windows PC向けにリモートPCアプリ「Windows App」をリリース
Microsoftが2024年9月19日に、macOS・Windows向けリモートデスクトップ接続アプリ「Windows App」や、iOS、iPadOS、visionOS向けの「Windows App Mobile」をリリースしました。「Microsoftリモートデスクトップ」の後継となるWindows Appでは、これまで通り離れた場所でも対象のPCや仮想アプリ、デスクトップに接続することが可能です。 Windows App now available on all major platforms - Windows IT Pro Blog https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-app-now-available-on-all-major-platforms/ba-p/4246939 Win
AWS Organizationsあり、外部認証基盤なしでSingle Sign-On(SSO)を使うべきか | DevelopersIO
現在参画中のプロジェクトでAWS Single Sign-On(以下SSO)を利用するべきかどうか検討しました。 要件 Organizationsを使って、複数アカウントを管理する AD等の外部認証基盤は無い コードで構成管理したい (Infrastructure as Code) ManagementAccount(旧名MasterAccount)はできる限りいじりたくない できるだけ簡単に設定・管理したい できるだけ簡単に各アカウントにアクセスしたい ユーザーあるいはグループごとに細かな権限設定をしたい MFA(多要素認証)必須 (にするかも) AWSアカウントへのアクセスのみが目的。SAML 対応のクラウドアプリケーション (Salesforce、Office 365、Dropbox など)や他アプリケーションで認証基盤を共用することは考えていない ※ SSOで実現できる機能です 選
警察庁は2023年9月27日、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について」という注意喚起を発表しました。同庁はこれまで、状況証拠がある場合でも、こうした情報を公開しないケースが多かったのですが、今回は、国名を明記した形での注意喚起となっています。これは無視できるものではありません。 今回の注意喚起は警察庁やNISCだけでなく、何と米国連邦調査局(FBI)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)など、米国政府機関の名前も連なっています。その上で、中国を名指ししたものとなっているのですから穏やかではありません。 ここで名指しされているサイバー攻撃グループBlackTechはかなり前から日本をターゲットに活動しており、2020年1月に発生した三菱電機への不正アクセスにも関与していたとされています。セキュリティベ
使いやすいと評判のズームは、在宅勤務の広がりとともに利用者が急増。しかしセキュリティー面の問題点も指摘されている JANIS LAIZANS-REUTERS <リモートワークに欠かせないビデオ会議・グループチャットのプラットフォームに付きまとうのは「ハッキングされる危険性」だけではない。どんなことに気を付ければいいのか。本誌「リモートワークの理想と現実」特集より> 新型コロナウイルス感染症の拡大を防ぐため、ビジネスの世界で着々と広がる在宅勤務。「これって最高」と思う人は少なくないかもしれない。家族と過ごす時間は増えるし、自宅のリビングから会議に参加できる。しかも苦痛な通勤時間がゼロだ! 人と人の物理的な接触が制限されている今、在宅勤務(やオンライン飲み会)で大活躍しているのが、ズーム(Zoom)やスラック、ハウスパーティーといったグループチャットやビデオ会議のプラットフォームだ。だが、こう
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米プリンストン大学の研究チームが発表した「Password policies of most top websites fail to follow best practices」は、Webサイトで新しくパスワードを設定する際にユーザーが保護される仕様になっているかを調査し考察した論文だ。世界で最も人気のある英語圏のWebサイト120のパスワードポリシーを調査した。 結果は、120サイト中13%しかベストプラクティスではなかった。具体的には、75%のWebサイトが「abc123456」や「P@$$w0rd」のような最も推測されやすいパスワードの選択を許可しはじかなかった。 また45%が数字
ChatGPTによる「フィッシング詐欺に遭遇した人」をテーマとした物語 数年前、私はフィッシング詐欺の被害者になりました。それは私の人生において一番後悔している奇妙なの一つです。 ある日、私は普段通りにメールをチェックしていました。 そこで私が利用している銀行からの通知が届いていました。 タイトルには「緊急のセキュリティ確認が必要です」と書いてあります。本文には「あなたのアカウントに不正アクセスの試行がされました。アカウントのロックを解除するために以下のリンクをクリックしてください」という内容が書かれていました。 私は一瞬の判断ミスで、恐れていたセキュリティ問題を解決しようと思いました。その瞬間、恐れと焦りが私を支配しました。そして、メールに書かれたリンクをクリックしました。 その瞬間、私の人生は一変しました。 リンクをクリックすると、偽の銀行ウェブサイトに誘導されました。 ウェブサイ
2018-2019年のサービス障害を振り返る - # cat /var/log/stereocat | tail -n3
ときどき思い出したように書いている障害事例まとめです。こういうのをやるならせめて年1回くらいはまとめないとダメだね……。昔の記事だと経緯や内容を覚えていないし、ニュース記事 (特に新聞社の記事や企業の障害に関するリリース記事) が消えてしまっていたりする。年末にまとめてドカッと振り返るのはしんどい。 2016-2017年のサービス障害を振り返る - # cat /var/log/stereocat | tail -n3 「なぜ障害事例をまとめているのか」についてはこっちに書いた内容そのままなのでこちらを参照してください。 DC/クラウド/通信事業者サービスの障害事例よせあつめ - # cat /var/log/stereocat | tail -n3 2010-2016あたりまでのメジャーな障害事例のまとめ 基本的には自分がブックマーク等でクリップしたものをもとにまとめています。主要なニュ
安易すぎるパスワード「admin」、IT管理者も使っていた 管理者用パスワードランキング、スウェーデンの企業が公開
組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業のOutpost24の調査でそんな実態が明らかになった。 Outpost24は法人向けセキュリティサービス「Threat Compass」を通じて1月~9月に収集した管理者パスワード180万件のデータを分析した。その結果、最も多かったパスワードは「admin」で、180万件のうち4万件を超えていた。 Threat Compassを通じて収集した管理者パスワードの1位は「admin」に。以降、トップ10までには、2位「123456」、3位「12345678」、4位「1234」、5位「Password」、6位「123」、7位「12345」、8位「admin123」、9位「123456789」、10位「adminis
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
オープンソースのユーザ認証システムOry Kratos v1.0.0がリリース | gihyo.jp
ワンタイムパスワードを「簡単に破れる」、成功率8割をうたう恐るべきサービス出現
「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは?
2020年アメリカ大統領選でメール流出がなかったのは「物理的なセキュリティキー」の採用による可能性
設定不備により、Azure Active Directoryの多要素認証が回避される恐れ | LAC WATCH
【初心者向け】日常にある認証と認可について考えてみた | DevelopersIO
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
AIブームで声で人をだます犯罪も増加か 闇サイトでは音声クローンサービス「VCaaS」が台頭
多要素認証を破る「プロンプト爆撃」の罠、ユーザーの寝込みを襲う恐怖の手口
Microsoft、2024年秋に「Windows App」の正式版をリリースへ
Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される
Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 | スラド IT
3Dセキュア入門 -B/43の3Dセキュア開発・運用の裏側- - inSmartBank
情シス部門のゼロトラスト導入に向けて#1 ゼロトラストを考えてみよう | LAC WATCH
ハッカーがたったの月額1700円で他人のSMSを乗っ取りWhatsAppなどのアカウントを侵害した方法とは?
気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
QRコードから不正サイト誘導、被害相次ぐ 「クイッシング」と呼ばれる手口も
警察庁が名指しで注意喚起 高い技術力を持つBlackTechにどう対処する?
Zoom、Slack、Houseparty 危険だらけの在宅勤務向けアプリ
「予測されやすいパスワード」有名サイト75%で許可 米プリンストン大が警鐘
頭が真っ白になる恐怖 - 叡智の三猿