[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
パスワードレス認証を採用するコンシューマー向けサービスが増えてきたが、まだパスワードから離れられないのが現状だ。ある調査から、最近の「パスワード破り」の手口が見えてきた。 ネットサービスのログイン時に求められるパスワードの入力。パスワードの設定は適度な長さと推測されにくいものを、というのが定石だ。 サービスごとにいちいちパスワードを変更するのも面倒なため、同じパスワードを使い回している人も少なくないだろう(セキュリティ対策上は避けるよう勧告されている)。ただ、1つのサービスでパスワードが流出すると、一気に他のサービスのアカウントも乗っ取られる恐れがある。 悪意あるハッカーたちは、いつでもユーザーのパスワードを手ぐすね引いて狙っている。あるものを活用することで、ハッシュ値化されたパスワードでも容易に解析されてしまう恐れがあるという。 サイバーセキュリティ企業であるHive Systemは20
YouTubeの非公開動画をGoogle従業員が閲覧 任天堂のゲームがリークされた経緯、海外メディアが報じる
YouTubeに非公開でアップした情報がリークされる――2017年に発生した任天堂「ヨッシークラフトワールド」の米Redditへのリーク投稿に関して、YouTubeで働いていたGoogleのTVC従業員(TVC:臨時・出向・契約社員を指す略称)が関与していたことが、Googleの社内文書から判明したという。米404 Mediaが報じた。 このリークは、ゲーム展示会「E3」で、任天堂が2017年に発表予定だった「ヨッシークラフトワールド」(2019年公開)の情報が、E3よりも前にRedditに投稿されたというもの。リーク画像には「Yoshi for Nintendo Switch - Official Game Trailer - Nintendo E3 2017」という動画のサムネイルがMacBookの画面に写っており、アドレスバーにはYouTubeの管理用URLが表示されていたという。
コロナ禍を経て、SaaSを中心とした企業のクラウドサービス利用は拡大し続けている。ただ、これに比例するようにクラウドサービス利用に起因するセキュリティインシデントが増えている。どうすればこのような事態を防げるのか。 クラウドサービスの利用で起こるセキュリティインシデントの多くは情報漏えいだ。その原因のひとつに、設定や運用の不備がある。テナント構築時に、運用ルールの作成や対策を講じないまま情報の外部共有設定レベルをデフォルトの「全公開」にしていたり、管理者やユーザーに過剰な権限を付与したりするケースが後を絶たない。一度定めた共有設定レベルを長い間見直さずに使い続けることのリスクを、今あらためて把握するタイミングが訪れている。 対策するには、クラウドサービスを現在「どう使っているのか」を探る必要がある。利用者が多いMicrosoft 365(以下、M365)のコミュニケーションツールを例に、外
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
Microsoft Azureの管理者は多要素認証によるサインオンが必須に。今年(2024年)7月から段階的に開始
マイクロソフトは今年(2024年)7月から、Microsoft AureのAzureポータルやCLIなどの管理関連の操作を行うユーザーに多要素認証によるログインを要求することを明らかにしました。 5月14日付けとして公開されたブログ「Microsoft will require MFA for all Azure users」(マイクロソフトはすべてのAzureユーザーに多要素認証を要求する予定です)で、次のように説明されました。 This July, Azure teams will begin rolling out additional tenant-level security measures to require multi-factor authentication (MFA). Establishing this security baseline at the tenan
総務省が5月26日、インターネットを使う際に気を付けるべき事項をまとめたWebサイト「国民のためのサイバーセキュリティサイト」をリニューアルした。 →国民のためのサイバーセキュリティサイト このサイトに掲載された、Webサービスなどで用いるパスワードの設定に関する記載が一部で注目を集めている。 定期的なパスワード変更は不要 本サイトでは、サイバー空間でのセキュリティを確保するために心掛けるべき事項を「サイバーセキュリティの三原則」という形でまとめている。 →サイバーセキュリティ初心者のための三原則 三原則は「ソフトウェアを最新に保とう」「強固なパスワードの設定と多要素認証を活用しよう」「(Webサイトやダウンロードしたアプリを)不用意に開かない・インストールしない」と、内容的には当たり前といえば当たり前……なのだが、今回注目を集めているのが、2つ目に掲げられた“パスワード”についての説明だ
MITREはなぜ侵入されたか? 調査結果 今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。 MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。 MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。 MITREは2024年4月に同組織の研究・開発・プロトタイピング用
Amazon Web Services ブログ 【寄稿】サイバーレジリエンスとはなにか? この投稿はネットアップ合同会社 岩井 陽太郎 氏に、サイバーレジリエンスの解説と AWS における実装ポイントについて寄稿いただいたものです。 皆様はサイバーレジリエンスという言葉に聞き覚えはありますか?企業のデジタル化が進む中、ビジネスにおける IT 部門の担う責任は日々重くなってきています。これまではサイバーセキュリティの考え方に則った、被害をどう防いでいくかに焦点を当てた「防御」の考え方に大きく注目が集まっていましたが、際限のない投資が必要なことから「セキュリティ疲れ」とも呼ばれる反動が起きています。そこで昨今では「防御」だけではなく、被災することを前提としてそこからいかに迅速に「回復」・「復旧」するかという「サイバーレジリエンス」という考え方が注目を集めています。 本ブログシリーズでは、サイバ
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。 テレワークの普及により、クライドサービスの利用が拡大しました。 クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。 一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。 サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。 テレワーク下で期待された防御策が「多要素認証」です。 多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の
資産運用会社のあいざわアセットマネジメント(東京都港区)は5月31日、個人情報の流出があったと発表した。特定の社員のメールが不正にダウンロードされ、その情報をもとに社外の関係者らへ投資を促すスパムメールが送信されたという。 同社によると、5月12日から13日の間に、特定の社員が使用していたクラウド型eメールサービスから、メールサーバに保存していた約2年分のメールが不正にダウンロードされたおそれがあるという。これには顧客9件や同社従業員、社外関係者を含む1000件を超える個人情報が含まれていた。名前やメールアドレス、会社名、部署名、電話番号などが流出した可能性がある。 13日には、その情報を基に社外の関係者へ約800通の投資を促すスパムメールが送信された。ウイルスなどの添付はなかったことは確認しているものの、BCCで一斉配信されており「その影響の範囲を特定するに至っていない」。このため顧客や
こんにちは、Azure Identity サポートチームの 張替 です。 本記事は、2024 年 5 月 16 日に米国の Azure Active Directory Identity Blog で公開された Microsoft Entra Private Access for on-prem users - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 クラウドの技術とハイブリッド ワーク モデルの出現は、サイバー脅威の急速な激化と高度化とともに、人々の仕事のやり方を大きく塗り替えています。組織の境界がますます曖昧になるにつれ、かつては認証済みのユーザーにとって安全であった社内アプリケーションやリソースが、今では踏み台となったシステムやユーザーからの侵入に対して脆弱になっています。ユーザーが
AWS re:Inforce 2024 が 2024/6/10 - 12 までペンシルベニア州フィラデルフィアで開催されています。AWS re:Inforce はクラウドセキュリティ、コンプライアンスに特化したテクノロジーカンファレンスです。 現地時間 6/11 の基調講演で新しくアナウンスされた内容をメモしています。 AWS Private CA Connector for SCEP の発表 (Preview) SCEP(Simple Certificate Enrollment Protocol) は、モバイルデバイス管理 (MDM) ソリューションで広く採用されているプロトコル Microsoft Intune や Jamf Pro などの MDM ソリューションで AWS Private CA を使用できるように SCEP コネクターは追加料金なしで利用可能 プレビュー期間中はバー
DockertestとLocalStackを使って 外部サービスに依存した多要素認証の 動作確認・テストをした話 / A story about using Dockertest and LocalStack to check and test the operation of multi-factor authentication that depends on external services
2024/06/08: Go Conference 2024 https://gocon.jp/2024/ DockertestとLocalStackを使って 外部サービスに依存した多要素認証の 動作確認・テストをした話 西田 智朗 ソフトウェアエンジニア
xID、子育ての不安・悩みに答える電子書籍コンテンツが無料で読める『ちいさな子育て図書館』をメディアドゥと共同リリース マイナンバーカード・デジタルIDを活用した自治体や企業の課題解決・新規事業創出を総合的に支援するGovtechスタートアップ、xID(クロスアイディ)株式会社(本社:東京都千代田区、CEO 日下 光 以下xID) と電子図書館事業を展開する株式会社メディアドゥ(東証プライム 3678、本社:東京都千代田区、代表取締役社長 CEO 藤田恭嗣、以下「メディアドゥ」)は、子育ての不安・悩みに答える無料の電子書籍コンテンツ『ちいさな子育て図書館』をリリースします。 本サービスにはデジタルIDアプリ「xID」が実装されており、利用登録の完全オンライン化を実現すると共に、ログイン時の多要素認証を実装し、利用者の利便性とセキュリティを向上させます。 本サービスを導入した自治体においては
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
データストレージベンダーであるPure Storageは2024年6月11日(現地時間、以下同)、自社のセキュリティ速報で(注1)、顧客サポートサービスに使用しているテレメトリーデータを含むSnowflake環境に攻撃者がアクセスしたことを発表した。 同事案は脅威アクター「UNC5537」によるSnowflakeの顧客データをターゲットとする脅威キャンペーンに関連したものだ。UNC5537はインフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしたとされている。 Snowflake事件の最初の被害者としてPure Storageが名乗り Pure Storageは「テレメトリー情報は顧客システムへの不正アクセスに使用できない」と述べている。今回の攻撃で公開された情報には、企業名やLDAP(Lightweight Directory A
Amazon Web Services(AWS)の最高情報セキュリティ責任者(CISO)が自社について「セキュリティを最優先にしている企業」と改めて強調して注目を集めている。Amazonの文化にセキュリティが根付いている理由や生成AI時代の顧客保護ツールを紹介するなど、昨今の生成AIブームとセキュリティリスクの問題を踏まえた情報発信だ。 AWS head of security talks protecting customers and data amid generative AI(出典:Amazon Web ServicesのWebサイト) AWSは2024年6月11日(現地時間)、同社がセキュリティを最優先にしている企業であることを強調する記事を公開した。 記事ではAWSのCISOであるChris Betz氏が語ったAmazonの文化にセキュリティが深く根付いている理由や生成AIの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
恐るべし、今どきの「パスワード破り」の手口:780th Lap
Microsoft 365における情報漏えいをどう防ぐ? 外部共有レベルをマークせよ
パスキーがAWS IAMの多要素認証として利用可能に
パスワードの「定期的な変更は不要」だが注意点も 総務省がサイバーセキュリティサイトで呼びかけ
「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
【寄稿】サイバーレジリエンスとはなにか? | Amazon Web Services
ログイン認証の混乱(2) ~多要素認証とFIDO~ - 叡智の三猿
あいざわアセットマネジメントで個人情報流出 社外の関係者らに投資を促すスパムメールが届く
オンプレミス ユーザー向けの Microsoft Entra プライベート アクセス
AWS re:Inforce 2024 Keynote での新発表まとめメモ - Qiita
xID、子育ての不安・悩みに答える電子書籍コンテンツが無料で読める『ちいさな子育て図書館』をメディアドゥと共同リリース
Pure Storageは、Snowflakeに関連する攻撃の早期被害者として名乗りを上げた
「Amazonにはセキュリティ文化がある」 AWSがAI時代のクラウドセキュリティを改めて強調