アメリカやヨーロッパなどの銀行では、口座にログインするためのセキュアなアクセス方法として、電話口での声紋認証が採用されています。ニュースサイト・Motherboardのライターであるジョセフ・コックス氏が、無料で使える音声AIを使って自分の銀行口座にアクセスできたことを報告しました。 How I Broke Into a Bank Account With an AI-Generated Voice https://www.vice.com/en/article/dy7axa/how-i-broke-into-a-bank-account-with-an-ai-generated-voice 以下の動画を再生すると、実際にAIの合成音声で銀行にアクセスしている場面を見ることができます。 Lloyds Bank logged into using AI voice - YouTube コック
クライアント認証まわりのエピソード 川口洋氏(以下、川口):ちょっと質問があったので、ここのタイミングで拾っておきたいです。クライアント認証をやっているベースのシステムは、いろいろあると思います。クライアント側を認証しているケースで、「そういう時に突破できちゃうんだよね」とか、「このあたりの設定さえあればよかったのに」とか、クライアント認証まわりのエピソードはあったりしますか? ルスラン・サイフィエフ氏(以下、ルスラン):最近かなり多いです。クライアント証明書の認証によるアプリやWebアプリであれば、私としてはすごくいいと思います。その質問としては、証明書をどう保存するかが大事になってきて、Windowsの世界であれば、DPNで保存している場合は基本的には現時点では安全です。 どこかにはまだ公開されていない攻撃があるかもしれませんが、少なくとも今のところはDPNからの証明書の奪取ができない
レッドハット、「Red Hat Enterprise Linux 9.4」を一般提供--「RHEL 7.9」に4年間の追加サポートも
レッドハット、「Red Hat Enterprise Linux 9.4」を一般提供--「RHEL 7.9」に4年間の追加サポートも Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2024-05-02 10:03 Red Hatは米国時間5月1日、同社OSの最新版「Red Hat Enterprise Linux(RHEL)9.4」をリリースした。また、「RHEL 7.9」のサポートを4年延長することも発表した。 他のバージョンのRHELではこのような延長サポートは期待できないだろう。CanonicalがUbuntuの長期サポート(LTS)版に12年間のサポートを提供しているのとは異なり、Red Hatは「RHEL 7 Extended Life Cycle Support(ELS)」に1回限りの4年間の追加サポートを
本当はre:Inventかその周辺で発表されたアップデートについて書こうかなと思ったんですが、自分自身の時間の都合と、例によって某ブログに大量に情報があるので今回は見送りましたw zennに何か書こうと思って書くのも今回が初ですね。 さて、今回は個人的に以前から非常に気になってしまう使われ方が多いIAMの使い方について、あらためてネタにしようと思います。 どちらかというとAWSにそれほど詳しくない人向けのつもりです。 しれっと使ってますが、そもそもベストプラクティスって何? という方はとりあえずこちらを ベストプラクティス (best practice)とは あくまでもベストプラクティスなのでいきなり全部を満たすのは難しいかもしれませんが、こういうものがあるんだよ、というのを認知してもらえればと思います。 とりあえず真っ先に気を付けたほうがよいことや注意してほしいことは よく見るまずい(と
Teamsのチャネル管理やOneDriveのファイル共有状況など、Microsoft 365では多くのアプリを使えるが故に、情シスが把握すべき範囲も広い。管理が不十分だと、時に情シスが思わず焦る事故が起こる恐れもある。 「Microsoft Office」と「Microsoft 365」の違いを理解していないことが原因で、ファイル共有に関する事故や、情シスが焦るようなヒヤリハットが起こるケースはままある。 LogStareは約50社の情シスから寄せられた「Microsoft 365」の運用に関する「困った」「焦った」事例をオンラインセミナーで紹介し、原因と対策を解説した。本稿は、その一部を抜粋して、情シスの悩みのタネとなるトラブル事例と対策を紹介する。 ファイル共有、アクセス権に関する「3大困った事案」 セミナーで紹介されたMicrosoft 365の「困った事例」は、「ファイルアクセスに
本記事作成時点(16日6時時点)でも、被害状況は継続。悪意あるツイートが削除され、また新しいツイートが投稿される鼬ごっこの状況が続いている。 CZは自身のアカウントが被害に遭う前に問題に気づき、仮想通貨がもらえるようなリンクはクリックせずに、バイナンスのアカウントにすぐに報告するよう警告。しかし、その後自身のアカウントも被害に遭い、警告のツイートも削除された。 他には仮想通貨トロン(TRX)の創設者ジャスティン・サンやトロン財団、アップル社、リップル社など、被害が広がりつつある。 米アップル社のアカウントでは、送金してくれたBTCの2倍の額を送り返すといった内容が、送金先のアドレスと共に投稿された。 また米リップル社のアカウントでは別の内容が投稿された。対象の仮想通貨はXRPで、「新型コロナ用のファンドに1000XRPを送金すれば、2000XRPを送り返す」というものだ。 仮想通貨メディア
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが7月4日、記者会見を開いて謝罪しました。その中で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しましたが、同社の小林強社長が明言を避け、ネット上で波紋を呼んでいます。ここで問題視されている「二段階認証」とはどのようなものでしょうか。 二段階認証とは? 二段階認証とは、Webサービスなどにログインする際、ID・パスワードの他に、メールやSMS(ショートメッセージサービス)で送られてくるコードを入力する――というように、利用者認証を2回に分けて行う手法です。パスワードが流出した場合に備え、チェック機能をもう一段階設けておくことで、アカウントの乗っ取りを防ぐ目的があります。 少し似た言葉に、多要素認証(二要素認証)というものもあります。認証に使う「要素」には、ID・パスワードなどの「本人しか知ら
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは、「Microsoft Teams」の新機能を次々とリリースしている。これは新型コロナウイルスの感染拡大を受けてテレワークを導入し、Teamsを利用するようになった7500万人のユーザーを支援するためだ。しかし、Teamsのポートフォリオで、このソーシャルディスタンスの恩恵を受けていない製品に、ビデオ会議向けの「Microsoft Teams Rooms」がある。 TwitterやSquareなどの企業は新型コロナの終息後、ビデオ会議製品を必要としなくなる可能性が高い。両社の最高経営責任者(CEO)を務めるJack Dorsey氏は米国時間5月18日、オフィスが再開した後も、在宅勤務を続ける選択肢を従業員に提供したか
富士通は2021年12月9日、同社が運営するプロジェクト情報共有ツール「ProjectWEB」を廃止すると発表した。同ツールを巡っては、不正アクセスを受けて複数の法人顧客の情報が流出するなどの問題が相次ぎ、運用を停止していた。併せて同社は、ProjectWEBで発覚した複数の脆弱性の問題点を踏まえ、早ければ12月中旬から新たな情報共有ツールの提供を始めることも明らかにした。 新たなツールでは多要素認証を実装したほか、不審な挙動を監視して不正アクセスの早期発見を可能にしたという。新ツールは富士通が独自に開発したものではなく、米Microsoft(マイクロソフト)や米Box(ボックス)のSaaS(ソフトウエア・アズ・ア・サービス)を組み合わせ、富士通が設計・設定をするかたちで顧客に提供する。またログを一元管理して、「不正アクセスを受けた際の原因究明や影響範囲の調査も迅速になる」(広報)と説明し
Gartnerは2021年3月23日(オーストラリア時間)、2021年のセキュリティとリスク管理における8つの主要なトレンドを発表した。 新型コロナウイルス感染症(COVID-19)の世界的大流行(パンデミック)に伴い、デジタルトランスフォーメーション(DX)が加速し、これまでのサイバーセキュリティについてプラクティスの限界が露呈しているとした。セキュリティやリスク管理のリーダーは自社の迅速な改革を実現するために、これらのトレンドに対応する必要があるとしている。 Gartnerのリサーチバイスプレジデントを務めるピーター・ファーストブルック氏は、今回発表した8つのトレンドの背景には、あらゆる企業が直面している長期的で世界的な課題があると指摘している。 「第一の課題はスキルのギャップだ。組織の80%は、セキュリティの専門家を見つけ、採用するのに苦労している。組織の71%は、これによって組織内
Azure Active Directory 入門
この記事は corp-engr 情シス Slack(コーポレートエンジニア x 情シス) #1 Advent Calendar 2020 16日目の記事です。 仕事でWindows PCやMicrosoft 365を管理することになった人や、オンプレADとの違いを知りたい人、興味はあるけどさっぱりわからんという人向けに、公式ドキュメントよりも噛み砕いた表現で解説してゆきたいと思います。(この記事では2020年12月時点の情報をベースとしています) Azure Active Directory とは 以降、Azure ADと記載します。 Azure ADはMicrosoftが開発しているID管理のクラウドサービスです。製品の分類で言えばIdP(IDaaS)に属し、SSO(シングルサインオン)やMFA(多要素認証)などを始めとして、企業活動に関わるIDやデバイスの管理を強力に支援する機能を多く
7pay不正利用問題の深層、システムの不備が相次ぎ発覚
セブン&アイ・ホールディングスのQRコード決済サービスで不正利用が起きた。同社が被害を認定した利用者は約1600人、被害額は約3200万円に上る。ようやく立ち上がりつつあったQR決済市場に冷や水を浴びせた格好だ。「外部ID連携」の脆弱性など、システムの不備も相次ぎ見つかった。考えられる攻撃手法は複数あるが、不正利用の手口の詳細は明らかになっていない。 「7payをご利用なさっているお客様および関係者の皆様に、多大なるご心配、ご迷惑をおかけしたことを深くお詫び申し上げます」――。 2019年7月4日午後、都内で緊急記者会見を開いたセブン・ペイの小林強社長は、QRコード決済サービス「7pay」で発生した不正利用について陳謝し、深々と頭を下げた。 セブン&アイ・ホールディングスは7月11日午後5時時点で不正利用の被害者の数を1574人、被害額を約3240万円と認定した。今後の調査で、被害を受けた
ランキング上位の脆弱性タイプは? CWE Top 25 Most Dangerous Software Weaknessesは、米国国立標準技術研究所(NIST)が管理する脆弱性情報データベース(NVD)のデータを基に、ソフトウェアに重大な影響を及ぼす可能性の高い脆弱性のタイプをまとめたものだ。 同リストには、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の公開する「既知の悪用された脆弱性カタログ」に登録された脆弱性に関する情報も取り込まれている。 ランキングは以下の通りだ。 関連記事 Exchange Onlineの基本認証廃止まで約3カ月 多要素認証に切り替えるには? Microsoft Exchange Onlineにおける基本認証のサポートが2022年10月1日で終了する。米当局は、期日までに基本認証からモダン認証への切り替えを呼び掛けており、
Uberは現地時間の2022年9月15日、内部システムが何者かによるハッキングを受けたことを報告しました。9月19日にはハッキング被害についての最新情報が報告され、ハッカーの手口やUberの対応、流出した可能性のあるデータなどが明らかになっています。 Security update | Uber Newsroom https://www.uber.com/newsroom/security-update/ Uber links breach to Lapsus$ group, blames contractor for hack https://www.bleepingcomputer.com/news/security/uber-links-breach-to-lapsus-group-blames-contractor-for-hack/ Uber admits 'several in
7payはあまりに脆弱性が多過ぎ、何が本筋で不正アクセスに至ったのか議論が混乱している。不正アクセス事案の初期段階は原因の絞り込みが難しく、様々な可能性が考えられる中で被害の類型やログなどを確認し、影響範囲を推定して顧客への影響を最小限に抑えながら止血することが求められる。 仮にリスト型攻撃が原因であれば、ID・パスワードを使いまわした方、特にリストが出回っている方を中心に被害に遭っている。リスクベース認証を入れる、SMS OTPやFIDOといった多要素認証を入れる、tokenやdevice fingerprintingでIDとデバイスを紐付ける、漏洩リストを買って出回っているID・パスワードと一致したアカウントを凍結するといった対策が有効だ。いずれも改修に時間を要するので、暫定的には海外からのアクセスを止めてbot遮断サービスやcaptchaを挟むことで被害を軽減できる。 仮にパスワード
ID管理や認証サービスを提供するOktaの最高経営責任者(CEO)であるTodd McKinnon氏は米国時間3月22日、同社を標的とする不正アクセスの試みが1月にあったことを認めた。同社は、JetBlue、Nordstrom、Siemens、Slack、Teach for Americaなど、1万5000社以上の企業や組織に2要素認証を提供する認証大手だ。 「1月後半に、Oktaは当社のサブプロセッサーの1つで働くサードパーティーの顧客サポートエンジニアのアカウントに対する不正アクセスの試みを検出した。この件については、サブプロセッサーが調査して封じ込めた」と、McKinnon氏はTwitterで明らかにした。 Reutersによると、3月21日、Oktaの社内チケットおよびメッセージングアプリ「Slack」上の社内チャットとみられるスクリーンショットがオンラインに投稿されたことを受け、
ロシア政府が支援するハッカーがWindowsの印刷スプーラーに見つかった「PrintNightmare」を突いてNGOに侵入しているとFBIが警告
ロシアのハッカーが、多要素認証(MFA)とWindowsの印刷スプーラーに内在する脆弱(ぜいじゃく)性「PrintNightmare」を用い、あるNGOに侵入したことを連邦捜査局(FBI)などが明かしました。 Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and “PrintNightmare” Vulnerability | CISA https://www.cisa.gov/uscert/ncas/alerts/aa22-074a Mitigating Threats Posed by Russian State-Sponsored Cyber Actors’ Exploitation of Defau
2019年2月5日、NoOps Japan Communityが主催する勉強会「NoOps Meetup Tokyo #4」が開催されました。「システム運用保守の"嬉しくないこと"をなくそう!」 をテーマに、 NoOpsを実現するための技術・設計手法・開発運用保守サイクル・ツールや考え方・事例などを共有します。プレゼンテーション「Zero Trust Networkで実現するアプリケーションサービス 」に登壇したのは、F5ネットワークスジャパン合同会社ソリューションアーキテクトの伊藤悠紀夫氏。講演資料はこちら Zero Trust Networkで実現するアプリケーションサービス 伊藤悠紀夫氏:みなさんこんにちは。F5の伊藤と申します。私も実はテーマが同じで、Zero Trust Networkのアーキテクチャの部分です。前半は概要をお話しさせていただきまして、後半は実際にやってみたという
本記事は 技術広報Week 3日目の記事です。 👩💻 2日目 ▶▶ 本記事 ▶▶ 4日目 📈 こんにちは、古田です。 今日は私が所属する技術広報チームの紹介と、自身のチーム内での経験について書かせていただきたいと思います。 技術広報チームについて 自己紹介 攻めの意識 ピアレビュー フィードバック 守りの意識 炎上しないために アカウントセキュリティ おわりに 技術広報チームについて NRIネットコムの技術広報チームは、メンバー全員が現場業務の傍らで活動を行っており、本業はAWSソリューション事業の推進、Webシステム開発のPM、デジタルマーケティングコンサルまで様々です。また、仕事以外にも、はてなブロガーやツイッタラー、技術書執筆者など様々なバックグラウンドを持つメンバーがいます。 二足の草鞋での活動は時間的な制約や苦労も多いですが、その分、メンバーの持つ多彩な知識・経験を集結し
[登壇レポート]「防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023 | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、AWS不正利用対策していますか? AWSを安全に使うために、不正利用対策は避けては通ることができません。 今回は弊社年1の一大イベントであるDevelopersIO 2023でAWS不正利用対策について登壇したので、その内容を共有します! 登壇動画 登壇資料 前提 セッション概要 今回のセッションの概要は以下のとおりです。 被害総額が膨らむAWSアカウント不正利用。脅威は常にあなたの身近に潜んでいます…。本セッションでは、アクセスキー漏洩やパスワード流出による不正利用から身を守るための防止対策をお伝えします。今日からできる実践的な知識で、あなたが大切にしているAWSアカウントを守り抜く力を身につけましょう! というわけで、今回はAWSアカウントで不正利用を起こさせないための超初級のセキュリティ対策のお話しです。 セッションのテーマ セッ
![[登壇レポート]「防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ae4ad44b9fc4a03f08079943ac833c126bf3a95e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F07%2Fdevio2023-aws-abuse-protection.png)
フィッシング耐性の高いMFA実装の解説 | ドクセル
CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開 フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説 MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida
シンジです。個人での利用、会社での利用に問わず、クラウドサービスに登録した自分の情報や普段利用するデータ、誰にも教えたくない秘密情報であったとしても、利用者本人のみが利用できる保護されたものだと思っている人も多いようですが、そんなわけあるか。 クラウドサービスのデータの所有権 所有権とか言い出すと、どの国の法律でどう定義されているから云々みたいな話になります。権利だけで挙げても、著作権や使用権、再利用権など広がる広がる。所有権だけを見て国内民法で見てみると、データは無体物であって民法上の所有権の対象にはならないとか言われる始末なので、いやいやそんなこと言われましても俺のものは俺のものですとか言いたくなるかもしれません。 全部が全部そうなってるとは言いませんが、どんな大手の有名クラウドサービスであろうが多くの場合、「クラウドサービスに上げたデータは、クラウド事業者のもの」です。 Google
クラウドサービスの設定ミスが原因で企業内の情報が流出し、不正利用につながる事件が後を絶たない。導入が簡単で拡張性が高く、どこからでもアクセスできるといったクラウドのメリットは、設定に不備があれば、外部からの不正アクセスを招くという問題に直結する。 「これだけクラウド設定ミスが危険だといわれているにもかかわらず、やはり事故は起きる。診断すれば問題が見つかる状況にある」──企業のセキュリティ診断などを手掛けるラックの西村篤志さん(デジタルイノベーション事業部セキュリティアセスメント部部長)はそう指摘する。 設定ミスがなくならない背景には、単純な手違いだけでなく、クラウドの特徴や、経営側の意識にも原因があるという。設定ミスに起因するトラブルが減らない理由を、西村さんと同社の仲上竜太さん(サイバー・グリッド・ジャパン シニア・リサーチャー)、上原孝太さん(金融事業部サービス第一部部長)に聞いた。
はじめに 本記事はMicrosoft Security Advent Calendar 2023、11日目の記事になります。 シリーズ3部作です。 IdP基盤を整理したことによるメリット IdP基盤をオンプレADとEntra IDのみの構成に整えることができたことで、Entra IDを中心にアカウント保護やSSOを考えていくことができるようになりました。 IdP基盤を整理することのメリットはいくつもありますが、セキュリティ目線で考えると、 ユーザーリスク サインインリスク の検知があげられます。 IdPがバラバラだった場合 以下のようにユーザーからのアクセスがあった場合、認証基盤がバラバラだった場合はそれぞれなにも検知できず、紛れ込んでいる悪意のあるユーザーもサービスを利用することができてしまいます。 IdPを統一した場合 上記のサインインをまとめて把握することができると、以下のように、ど
ネットワークのテクノロジーはSDNやSD-WAN、Infrastructure as Codeの流れがあり、ソフトウェアに近づいてきている。APIでアクセスすることで操作の自由度を高めたり、通信情報をセキュリティに役立てたりしている。コーディングに慣れたアプリケーション開発者にとってネットワークは遠い世界ではなく、これまでのスキルを活かせる場になるかもしれない。その足がかりとなりそうなのがCisco DevNetだ。 プログラマブルに操作できる、今ネットワークに注目が集まるワケ シスコといえば、スイッチやルーターなどネットワーク機器のイメージがある。アプリケーション開発者から見たら、こうしたネットワークの領域は「自分とは遠い世界」と思いがちではないだろうか。 しかし、そうしたイメージは払拭したほうがいいだろう。かつてネットワーク機器の操作はコマンドラインだったが、今の管理画面はGUI操作も
国民1人あたり3万円、子供一人10万円給付の61.6%の駆け込み『 #マイナンバーカード 』対策!(神田敏晶) - 個人 - Yahoo!ニュース
KNNポール神田です。 【追記:2021年11月11日】残念ながら、現在この選挙公約は改悪されつつある。 『公明党公約「マイナポイント3万円付与案」は最大2万円に減額』『10万円給付対象、夫婦と子2人世帯で年収960万円未満』 政府与党の『現金給付』の選挙公約が実施される方向で動いている。 □政府・与党は(2021年11月)4日、新型コロナウイルスの感染拡大を受けた支援策として、18歳以下の子どもや若者に現金10万円を一律支給する方針を固めた。 □現金給付の対象は0歳から高校3年生までとし、高校に進学していない若者も含める。対象は約2,000万人にのぼる見通しで、予算額は約2兆円を見込む。 □マイナンバーカードを保有する全国民を対象に、1人3万円相当のポイントを付与する方向 □マイナンバーカード保有者にポイントを付与する事業は、カードの普及と消費喚起を図り、政府のデジタル化を推進する狙いが
Amazon Web Services ブログ AWS 環境でセキュリティレスポンスの自動化を始める方法 AWS では、AWS 環境内のセキュリティイベントについて自動化による迅速な検知と対応をすることをお勧めしてます。自動化は、検知と対応の速度を向上させることに加えて、AWS で実行するワークロードを拡大するときにセキュリティ運用もスケーリングするのに役立ちます。これらの理由から、セキュリティの自動化は、Well-Architected フレームワークとクラウド導入フレームワークの両方、およびAWS セキュリティインシデント対応ガイドで概説されている重要な原則です。 このブログでは、AWS 環境内に自動セキュリティレスポンスメカニズムを実装する方法を学習します。このブログには、一般的なパターン、実装に関する考慮事項、およびソリューション例が含まれます。セキュリティレスポンスの自動化は、多
関連キーワード セキュリティ | 認証 | パスワード | 生体認証 パスワード認証の問題点が、企業を悩ませ続けている。通信会社Verizon Communicationsの報告書「2021 Data Breach Investigations Report」によると、同社が2021年に観測した実績では、漏えいしたデータの61%は、パスワードなど個人の知識に基づく認証要素(知識要素)を含んでいた。企業はパスワード認証が中心となっている認証の現状を見直す必要がある。 こうした中、パスワードレス認証(パスワードを使わない認証)の話題が盛り上がっているのは驚きではない。調査企業Forrester Researchが2021年に実施した調査では、回答者の70%近くが「パスワードレス認証の導入初期段階にある」と答えた。これらの回答者は概念実証(PoC)やパイロットプロジェクトを通じて、特定の従業員に
ファイル共有サービスの利用者が増加する中、IDやパスワードが盗まれる危険性は、ひとごとではなくなってきています。フィッシング詐欺から、IDとパスワードを守るためにはどうすればよいのでしょうか。 JPCERTコーディネーションセンターは2020年11月27日、FortinetのSSL VPN機能の脆弱(ぜいじゃく)性に関するニュースを公開しました。同社のセキュリティ製品の基盤となるOS「FortiOS」における既知の脆弱性(CVE-2018-13379)の影響を受けるホストの一覧が、フォーラムで公開されたということです。 公開された情報の中には、ホストのIPアドレスとSSL VPN接続を利用するユーザーID、平文のパスワードが含まれていました。セットで公開されたこれらを悪用すれば、セキュリティ機構をスルーして直接内部に入り込むことが可能になります。 公開情報の中には、日本のIPアドレスも含ま
by Roman Koester ドメイン・ネーム・システム(DNS)をハッキングしてデータを盗み取るハッカー集団「Sea Turtle」の活動が拡大していると2019年に入ってから報じられています。このようなハッカーたちの攻撃に備え、アメリカ連邦政府と地方行政機関が使用する「.gov」ドメインを管理する(PDFファイル)DotGov Programが新たな施策を発表しました。 US Govt Rolls Out New DNS Security Measures for .gov Domains https://www.bleepingcomputer.com/news/security/us-govt-rolls-out-new-dns-security-measures-for-gov-domains/ Sea Turtleのターゲットは主に政府機関であり、これまでに40近くの政府関
業務に必要なツールにアクセスする際、パスワードの入力が求められる。現在、企業内で従業員が管理しなければならないパスワードの数は増え続けており、いわゆる「ログイン疲れ」が起きている。従業員が疲れてしまうだけではない。タスクを完了するために正規の手順を取らなかったり、安全性の低い回避策を見つけたり、場合によってはタスクの実行を諦めたりして、ビジネスを危険にさらしている可能性があるという。 1Passwordはログイン疲れの実態とこれがもたらすリスクについて理解を深めるため、カナダと米国に在住する2000人を対象に調査した。対象者は全て、従業員250人以上の企業の正社員であり、主にPCを使って業務を遂行している。調査を始めるに当たって、ログイン疲れがフラストレーションの原因になっているのではないかと予想していたものの、問題はより大きく複雑だった。 ログイン疲れは何をもたらしているのか 調査によれ
IAMユーザーのMFA(多要素認証)は有効になっていますか?現状を確認→是正→適切な状態を維持するまでの流れを整理してみた | DevelopersIO
IAMユーザーのMFA(多要素認証)は有効になっていますか?現状を確認→是正→適切な状態を維持するまでの流れを整理してみた 中山(順)です AWSアカウントのIAMユーザーではMFA(多要素認証)を利用できますが、ちゃんと有効化していますか? AWSのコンソールにログインできるということは、そのユーザーに付与されている権限によってはシステムの構成やデータを閲覧・変更・削除ができたりします。 そのようなケースにおいて、ユーザー認証がパスワード(knowledge factor)だけでいいのでしょうか? AWSが示すIAM Best Practicesにおいても、特権ユーザーに対してはMFAを有効化することが推奨されています。 Enable MFA for Privileged Users この記事では、以下の流れでIAM Userの現状確認から適切な状態を維持するまでの流れを整理してみました
ショートメッセージサービス(SMS)はスマートフォンで広く使われている。個人的なメッセージはもちろん、多要素認証のコードを受け取る場合もあるだろう。Googleによればここにワナが待ち受けているという。どんなワナだろうか。 Googleによればショートメッセージサービス(SMS)はあまりにも古い技術を使っているため、セキュリティが時代遅れになっていて、危険な状態にあるという。 2023年9月27日、Googleは安全性認証・試験機関のDekraが公開したホワイトペーパーを取り上げ、SMSのセキュリティの欠点を紹介した。どのような欠点があるのだろうか。 SMSのセキュリティはひどすぎる 友人とメッセージを交換したり、家族の写真を共有したり、銀行口座の機密データにアクセスするための多要素認証コードを受け取ったりするために、ユーザーは日々SMSを利用している。生成AI(人工知能)のような最新技術
多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘:この頃、セキュリティ界隈で 認証情報の窃取やネットワークへの不正侵入といったサイバー攻撃が過去2年で急増しているにもかかわらず、多要素認証(MFA)やパスワードレス認証といった強力なID認証手段の普及がなかなか進まない状況にある──米Microsoftはこのほど発表した報告書で、そんな実態に警鐘を鳴らしている。 サイバー脅威に関するMicrosoftの四半期報告書によれば、同社のクラウドベースID管理サービス「Azure Active Directory(AD)」を使っている法人のうち、多要素認証やパスワードレス認証などの強力なID認証を実装していたのは、2021年12月の時点で22%にとどまった。 攻撃者はそうした隙を突き、フィッシング詐欺メールやパスワード総当たりのブルートフォース攻撃、ソーシャルエ
最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。 2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。 同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。 サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。 MFAは魔法ではない Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入
株式会社インターネットイニシアティブ(IIJ、本社:東京都千代田区、代表取締役社長:勝 栄二郎)は、新型コロナウイルスの感染拡大を受け、急速にニーズが増えている在宅勤務およびテレワークを実現するリモートアクセス環境を、2020年5月末までの期間限定で無償提供いたします。 新型コロナウイルスの感染防止対策として政府が企業にテレワークの実施を推奨するなか、当社には、これまでリモートアクセス環境を導入していなかった企業や、導入していたものの利用者が想定以上に多く、システムが足りなくなった企業などから、早急に環境を整備したいという声が多く寄せられています。そうした喫緊のニーズに対応すべく、IIJでは、最短で即日、リモートアクセスサーバ機能を備えたVPN機器(SEIL(※))を出荷します。遠隔でSEILを管理するマネージメントサービス「IIJ SMF sxサービス」を利用するため、届いたSEILはケ
従来の境界型防御は、最新の攻撃手法には無力だった――。サイバー攻撃の被害企業は、事件を転機にセキュリティー対策を大きく転換させた。被害企業が得た苦い教訓とその後の対策は、多くの企業にとって参考になる。 「セキュリティー対策は常に進化させる必要があると痛感した」。三菱電機の三谷英一郎常務執行役CIO(最高情報責任者)は、4年前の2019年にサイバー攻撃の被害に遭った教訓をこう語る。 同社は2020年1月、不正アクセスの被害を受けたと発表した。防衛省による2021年12月の発表によれば、三菱電機から流出したファイルの中には、防衛に関連するものが2万件あり、その中には安全保障に影響を及ぼす恐れのあるファイルが59件含まれていたとする。 攻撃者は2019年3月、ウイルス対策ソフトなどの脆弱性を突いて三菱電機の中国拠点に侵入し、その後に日本拠点にも侵入するなど不正アクセスの範囲を広げていった。「(当
Introduction 在宅勤務の増加に伴い普及したVPN(仮想私設網)機器が国内でのサイバー防衛の「抜け穴」となっている。ランサムウエア(身代金要求型ウイルス)に侵入を許す原因の7割を占め、港湾や病院といった大規模攻撃の端緒にもあげられる。企業はどう対処すべきなのか。弁護士で、内閣サイバーセキュリティセンター(NISC)タスクフォース構成員などをつとめた山岡裕明氏が解説する。(聞き手はサイバーセキュリティーエディター 岩沢明信)
パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。 パスワードを使わずに安全かつ負担なく認証できる手法の1つとして、コンシューマーを中心に「パスキー」(Passkey)が広がりつつある。この認証手段、企業ユースへの展開はあるのだろうか。パスキーの基礎解説と、企業で運用する際のポイントなどを解説する。 パスワードレスの認証手段、パスキーとは? パスキーは、FIDO Allianceが進めるFIDO標準の仕様に基づく、パスワードを利用しないアクセス方法として注目されている。特定のユーザーがWebサイトやアプリへサインインする際に、迅速かつ簡単に、安全にアクセスできる仕組みだ。業界標準のAPIとプロトコルに基づく公開鍵暗号を用いることで、面倒なログイン名とパスワー
FreeRADIUS + Google Authenticator + Microsoft ADを使ったClientVPNのMFA構成 | DevelopersIO
FreeRADIUS + Google Authenticator + Microsoft ADを使ったClientVPNのMFA構成 FreeRADIUSを使って、Microsoft ADで認証するClientVPNの環境にMFAを導入してみました。Microsoft ADを使ったMFAの事例が少なかったので少しハマりました。 ClientVPNでは、ユーザーに対して多要素認証(MFA)を利用することができます。 今回は、MFAを使うために必要なRADIUSサーバを、FreeRADIUSで構築してみたいと思います。 構築手順としては、下記の情報を元にしています。こちらは古いAmazon Linuxを使っているため、今回はAmazon Linux2で作成しています。 また、下記では「WorkSpaces Connect」(現在のAD Connector)を使っていますが、今回はMicros
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
「セキュリティ=ユーザビリティではない」 攻撃される・漏れてしまう前提で考えるセキュリティ運用
AWSを使うにあたりIAMのベストプラクティスをもう一度確認する
「Microsoft 365」運用のNG集 情シスから寄せられた困った、焦った事案
ツイッター公式アカ乗っ取り「ビットコイン詐欺」 ビルゲイツ、Apple社、仮想通貨取引所などで被害拡大
「7pay」不正ログイン被害で話題「二段階認証」とは?
「Microsoft Teams Rooms」がまもなく「OAuth 2.0」認証に切り替え
富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ
Gartner、2021年のセキュリティとリスク管理における「8つのトレンド」を発表
サイバー攻撃者に悪用されやすい脆弱性タイプは? 2022年版「CWE Top 25」が公開
Uberが内部システムへの侵入を許したハッキング被害の詳細を報告、「GTA6」の映像をリークしたハッカーが関与か
サービスを止める勇気、動かし続ける勇気|楠 正憲(デジタル庁統括官)
認証サービスのOktaに不正アクセス--スクリーンショット流出に関連
Zero Trust Networkで実現するアプリケーションサービス
エンジニアの私が技術広報として意識していること - NRIネットコムBlog
クラウドに上げたデータは誰のものなのSlack編 | ロードバランスすだちくん
「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
社内をパスワードレスにするため頑張った話(中編) - Qiita
開発者におすすめ! プログラマブルな最新のネットワークが学べる「Cisco DevNet」の歩き方
AWS 環境でセキュリティレスポンスの自動化を始める方法 | Amazon Web Services
“パスワードのいらない世界”への道 「パスワードレス認証」の第一歩とは
「OneDriveフィッシング」に要注意 IDとパスワードを守るためにできること
「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは?
職場でまん延する「ログイン疲れ」、働く気をゼロにする「現代病」の弊害とは
Googleが「SMSのセキュリティは穴だらけ」と批判する理由
多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘
多要素認証が効かない「Pass-the-cookie攻撃」の仕組み
IIJ、企業のテレワークを支援するリモートアクセス環境を5月末まで無償提供 | IIJ
三菱電機と富士フイルムHDに聞く、サイバー攻撃被害の教訓とその後の対策
ランサムウェア侵入、「VPN」が7割 多要素認証で被害抑制を - 日本経済新聞
話題の認証方法「パスキー」とは何か? 基礎解説と企業活用の是非