Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
7payが世の中を騒がせて、2段階認証という言葉がホットワードとなったりしてますね。こうした決済サービスのセキュリティを守るには「多要素認証」(Multi-Factor Authentication)が大切です。……ところで多要素認証ってなんでしたっけ? Twitter投票でクイズを出してみたところ……?
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
多要素認証疲労攻撃に要注意、Uberが被害に遭う
Malwarebytesは9月22日(米国時間)、「Welcome to high tech hacking in 2022: Annoying users until they say yes」において、Uberがソーシャルエンジニアリングの斬新な手法を用いた攻撃者によって被害を受けたと伝えた。Uberに対して、多要素認証(MFA: Multi-Factor Authentication)疲労攻撃が行われたことが判明した。 Welcome to high tech hacking in 2022: Annoying users until they say yes 多要素認証疲労攻撃は、攻撃者がすでに被害者のログイン情報を持っていることが前提とされている。攻撃者が何度も被害者のアカウントへのログインを試み、被害者が使用している多要素認証用に設定したモバイル端末またはアプリに「サインインを
連載:迷惑bot事件簿 さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。 不正ログインの被害が日本社会を揺るがしている。今、日本がこのタイプの犯罪の「絶好の狩場」となっていることは想像に難くない。過去1年あまりで報道された大きな被害だけでも10件を超えている。 Webサービスやスマートフォンアプリでの不正ログイン被害の多くが「パスワードリスト型攻撃」に
2段階認証と2要素認証と多要素認証(MFA)の違い
知識情報による認証 パスワード、PIN、秘密の質問などのユーザーだけが知っている知識情報で認証する方法です。パスワードによる認証は比較的かんたんに導入できるが、デメリットもあります。パスワードを何度も試行されるようなブルートフォース攻撃やパスワードを盗み取るフィッシング攻撃などにより、不正に利用されるリスクを抱えています。また、複数のサイトで同じパスワードを使い回すことで被害を拡大するリスクもあります。このようにパスワードのみでの認証ではセキュリティ強度が担保できなくなっています。 所持情報による認証 社員証のようなICカード、物理デバイスのセキュリティキー、スマホなどのユーザーが持っている所持情報で認証する方法です。ICカードによる認証ではカード内の情報を読み取り認証を行う。セキュリティキーによる認証では、複数の認証形式(ワンタイムパスワード、FIDOなど)に対応した認証が可能です。スマ
認証方式の整理とNIST SP800-63での認証方法決定
NECサイバーセキュリティ戦略本部セキュリティ技術センターの山田です。現在、キャッシュレス決済のように個人の資産に関わる情報をインターネット上で扱うことが一般的になりつつあります。テレワークの普及、クラウドサービスの活用など業務を行う際にも、従来のように組織の管理するイントラネット外から機密情報へのアクセスが必要な場面も増えています。 それに伴い、不正アクセスによるクレジットカードの不正利用や、情報漏洩などのインシデントも報告されています。 今回は、こういったインシデントを防ぐための第一歩であり、重要な要素である認証方式についてメリット・デメリットの整理をします。この記事では、認証についてのガイドラインであるNIST SP800-63を参考に、モデルケースにて必要な認証要素を考えてみたいと思います。 まず初めに、3つの認証要素についてご紹介します。NIST(米国国立標準技術研究所)より発行
「誰か銀座にいるか」。7月2日、中国籍の張升(23)は中国の対話アプリ「微信(ウィーチャット)」の投稿に気付いた。返信すると「阿布」と名乗る投稿者が「商品を購入すれば報酬を支払う」などと持ちかけ、「セブンペイ」のIDやパスワード、不正利用の手法を次々と指示してきた。【前回記事】「また余計な仕事が」 嘆きのセブン加盟店セブン&アイ・ホールディングス(HD)の決済サービス「セブンペイ」の不正利用事件で、警視庁はこれまでに張ら中国籍の男女3人を詐欺容疑などで逮捕
米国土安全保障省傘下のサイバーセキュリティー専門機関(CISA)は2021年8月末、セキュリティーの「Bad Practices(やってはいけない)」のリストに「単一要素認証」を追加した。単一要素認証とは、1つの要素(情報)だけで正規のユーザーかどうかを判断すること。通常はパスワードだけによる認証を指す。これに対して複数の要素を使う認証は多要素認証と呼ばれる。やってはいけないリストが公表され
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
多要素認証を私物スマホでやっていいのか問題
「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件
Webサービス運営者がパスワードを扱う上での基本知識 - BUSINESS LAWYERS
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
マイナンバーカードとJPKIで本人確認の仕組みは普及するか【鈴木淳也のPay Attention】
まさかの3ファクタ認証? ラピュタの滅びの呪文「バルス」にまつわる議論が面白い【やじうまWatch】
急増する不正ログイン、対策のカギは「正しく怖がる」こと
不正手口は日々進化 PayPayの教訓どこへ(ルポ迫真) 退場セブンペイ(4) - 日本経済新聞
パスワードだけの認証狙う メール詐欺被害2000億円 - 日本経済新聞