パスワードの定期的な更新が推奨されない理由とは
ESETはこのほど、「How often should you change your passwords?」において、パスワードの定期的な更新を推奨しない理由とパスワードのベストプラクティスを伝えた。モバイルデバイスにおいては生体認証などのパスワードレス認証が主流となってきているが、デスクトップ環境においてはパスワードが依然として主流としてその取り扱いの注意点を解説している。 How often should you change your passwords? なぜパスワードの定期的な更新は推奨されないのか ESETはパスワードの定期的な更新を推奨しない理由として、以下を挙げている。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の報告によると、「ユーザーは近い将来にパスワードを変更することがわかってい
サイバーセキュリティには根本的な問題がある。パスワードによる認証は60年前に始まり、今日もアクセスコントロールに使われる最も一般的な方法だ。だが、これらは信頼性に欠ける。 サイバーセキュリティ事業を営むNetenrichのCISO(最高情報セキュリティ責任者)であるクリス・モラレス氏は「アクセスコントロールは古い技術から派生したものだ」と話し、パスワードを嫌っている。 「私たちは資金を投入してクールなビジネスに取り組んでいるにもかかわらず、セキュリティ全体がパスワードのせいで崩壊する。私たちが抱える問題は、認証に関して中間の状況がないことだ。全てにアクセスできるか、何にもアクセスできないかの二択だ。そして、ただパスワードを知っていればいいだけだ。パスワードを知っていれば信用できると見なされ、全てを手に入れられる」(モラレス氏) パスワードとIDによる認証は“破綻した仕組み” 「Cybers
はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応 - プレスリリース - 株式会社はてな
株式会社はてな(代表取締役社長:栗栖義臣/本社所在地:京都市中京区)は、はてなの提供するサービスの利用時に必要な「はてなID」でのログインにおいて、パスワードレスの生体認証機能「パスキー」と多要素認証の「TOTP(Time-Based One-Time Password)」に対応しました。「はてなブログ」や「はてなブックマーク」などの個人向けサービスや、「はてなブログMedia」などの法人向けサービスをご利用のユーザーは、これらの認証を利用することにより、これまで以上に安全で便利なアカウント管理が可能になります。 ▽ 「はてなID」でご利用いただけるサービス例 記事やコメントの投稿に「はてなID」へのログインが必要なサービスには、以下のようなものがあります。 はてなブログ https://hatena.blog はてなブックマーク https://b.hatena.ne.jp 人力検索はて
「石川や 浜の真砂は 尽くるとも 世に盗人の 種は尽くまじ」。これは石川五右衛門の辞世の句だと言われています。砂浜の小さな粒を全て取り尽くしたとしても、世の中に泥棒がいなくなることはない、という意味です。 筆者はサイバーセキュリティで今起きている現象と重なる気がして、ふと上記の句を思い出しました。サイバーセキュリティで“尽きない”と言えば「パスワード」ネタです。というわけで今回もパスワードの話をピックアップしたいと思います。 パスワードをちょっと変えただけでは使い回しと大差ない 「ITmedia NEWS」で山下裕毅氏による「パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表」という記事が公開されました。 これはタイトル通り、パスワードを少し変えて使い回しを防止したとしても、攻撃側はそれを予測できてしまうという研究結果です。記事によ
政府機関や自治体、企業に対する侵入テストを通じて組織のセキュリティ診断を行っているCISAの「レッドチーム」と、戦略的脆弱性評価を手掛ける「ブルーチーム」の活動、さらにはインシデント対応の実績を通じ、多くの組織に共通する体系的弱点を洗い出している。 サイバー攻撃に利用されやすいセキュリティ設定のトップ10として挙がった不備は以下の通り。 ソフトウェアやアプリケーションがデフォルト設定のままにである ユーザーと管理者権限の不適切な分離 内部ネットワークの監視不足 ネットワークセグメンテーションの欠如 パッチ管理の不備 システムのアクセス制御をかわされる問題 多要素認証(MFA)の甘さや設定ミス ネットワーク共有やサービスにおけるアクセス制御リスト(ACL)の不適切な設定 破られやすいパスワードの使用や平文によるパスワードの保管など、不適切な認証情報の管理 実効可能ファイルやHTMLアプリケー
総務省が5月26日、インターネットを使う際に気を付けるべき事項をまとめたWebサイト「国民のためのサイバーセキュリティサイト」をリニューアルした。 →国民のためのサイバーセキュリティサイト このサイトに掲載された、Webサービスなどで用いるパスワードの設定に関する記載が一部で注目を集めている。 定期的なパスワード変更は不要 本サイトでは、サイバー空間でのセキュリティを確保するために心掛けるべき事項を「サイバーセキュリティの三原則」という形でまとめている。 →サイバーセキュリティ初心者のための三原則 三原則は「ソフトウェアを最新に保とう」「強固なパスワードの設定と多要素認証を活用しよう」「(Webサイトやダウンロードしたアプリを)不用意に開かない・インストールしない」と、内容的には当たり前といえば当たり前……なのだが、今回注目を集めているのが、2つ目に掲げられた“パスワード”についての説明だ
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2024 年 5 月 2 日に米国の Microsoft Entra (Azure AD) Blog で公開された Public preview: Expanding passkey support in Microsoft Entra ID の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 パスワードというものを本気でこの世からなくしたいと思っています。パスワードという仕組みをこれ以上よくする方法というのは実質的にない のです。多要素認証 (MFA) を利用するユーザーが増えるにつれて、攻撃者は Adversary-in-the-Middle (AitM) フィッシングやソーシャル エンジニアリング攻撃をより多用しています。これらの攻撃は、ユーザーが意図せず認証情報を攻撃者
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。 認証は、以下3つのタイプの要素があります: 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカード認証 等 属 性 生体認証(指紋認証/顔認証 等) 多要素認証は、1つだけの認証より、セキュリティを高めることができます。例えば、パスワードを知っているだけではアクセスできないよう、さらにスマートフォンで生成されたワンタイムパスコードを要求するなどです。 これにより、不正アクセスを困難にし、セキュリティを強化することができます。 2要素認証に該当するものはどれか。 ア 2本の指の指紋で認証する。 イ 虹彩とパスワードで認証する。 ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。 エ 異なる2つのパスワードで認証する。 ~「基本
こんにちは、Azure & Identity サポート チームの長谷川です。 Microsoft Entra 条件付きアクセスは、Microsoft Entra ID が提供する主要機能であり、非常に多くのお客様にご利用いただいています。一方で、条件付きアクセスについて誤解されている方が意外と多いと感じており、弊社サポートにはこの誤解により生じる問題や質問が多く寄せられます。 そこで本記事では、条件付きアクセスとはどういったものであるか、またどのようなコンセプトで提供されているかをイメージできるような情報をお届けします。後半では簡単なシナリオをベースに条件付きアクセスの動作を説明していきますので、本記事が条件付きアクセスへの理解の助けとなればうれしく思います。 条件付きアクセスとはどんな機能か条件付きアクセスを一言でいうと、Microsoft 365 のサービスや Salesforce な
クラウドでのセキュリティー事故を防ぐために企業は何に注意すべきか。ユーザーID管理や設定管理、セキュリティー運用など、今すぐ点検すべき12項目をまとめた。 「ボタン1つですぐに設定できるクラウドは、1つのミスが大きな事故につながる」。サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は、クラウドを利用する上での「怖さ」をこう強調する。 クラウドを活用するメリットとして、システム開発をスピードアップできる点がある。しかし裏を返せば、クラウドでは設定を誤ると、重要なデータなどが超高速で危険な状態にさらされてしまうことを意味する。オンプレミスよりも便利である一方、クラウドならではの怖さがあるわけだ。 そこで今回、日経クロステックは上原教授の指摘の下、クラウドセキュリティーに関してユーザー企業が今すぐ点検すべき12項目をまとめた。 クラウド利用を棚卸し、領収書チェックも 最優先すべき項目は、
MITREはなぜ侵入されたか? 調査結果 今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。 MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。 MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。 MITREは2024年4月に同組織の研究・開発・プロトタイピング用
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか:ITmedia Security Week 2024 冬 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。
Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?:Cybersecurity Dive BeyondTrustとCloudflareは2023年10月に発生した「Okta」環境に対する侵害について、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたという。 サイバーセキュリティサービスを営むBeyondTrustとCloudflareのセキュリティリーダーは2023年10月に発生した「Okta」環境に対する侵害について(注1)、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたと確信している。しかし、経営陣がこれらの攻撃について抱く懸念には未解決の部分が多く残っている。 BeyondTrustとCloudflareが、Oktaのサポートスタッフに送ったログファイルには、サイバー攻撃者がOktaのサポートシステムの管理者アカウントから盗んだセッショントー
開発本部 MIXI M事業部の ritou です。 MIXI M|ミクシィエム - 決済やアカウント認証、個人データを管理する統合プラットフォームサービス MIXI Mは、認証から決済までワンストップで提供できる基盤システムおよびWALLETサービスです。 認証に関しては、MIXI Mとして提供しているサービスのID管理だけでなく、社内外のサービスにID連携機能を提供するIdentity Providerでもあります。決済に関しては最近、PCI 3DSの準拠認定についての記事が公開されていますので、こちらもぜひご覧ください。 MIXI MにおけるPCI 3DS準拠のための道のり | by k-asm | Sep, 2023 | MIXI DEVELOPERS この投稿では、MIXI Mのパスキー対応について紹介します。 これまでのユーザー認証 MIXI Mでは、サービス開始当初からパスワー
ロシアのハッキンググループが企業のテクニカルサポートを装いMicrosoft Teams経由でフィッシング攻撃を行っていたことが判明
ロシアのハッキンググループが中小企業のテクニカルサポートのふりをしてMicrosoft Teams経由でメッセージを送信し、ユーザーにログインを認証させる悪事を働いていたことが分かりました。この行為により、40社未満の組織に影響が及んだとMicrosoftは指摘しています。 Midnight Blizzard conducts targeted social engineering over Microsoft Teams | Microsoft Security Blog https://www.microsoft.com/en-us/security/blog/2023/08/02/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams/ Microsoft says Russia-link
Windows 11対応!セキュリティ・コスパ重視のパスワードマネージャー4選【今日のワークハック】 | ライフハッカー・ジャパン
Bitwardenは、Windows向け無料パスワードマネジャーのなかではベストと言ってもいいでしょう。 オープンソースで、Windows、MacOS、ブラウザとモバイルで利用可能です。 Bitwardenでは、ほかのパスワードマネージャーと同様の機能が標準装備されていて、データは、ゼロ知識、エンドツーエンドのAES-256ビット暗号化によって保護。また、擬似ランダム関数のベースには、ソルト付きパスワードハッシュとPBKDF2(Password-based Key Derivation Function 2、鍵導出関数)が使用されています。 Bitwardenのメイン機能多要素認証、パスワード共有、複数のユーザーが使える無制限のパスワード保存にも対応。50を超える各種パスワードマネージャーからパスワードをインポートしたり、Bitwardenのデータ保管庫からJSON、JSON(暗号化)、お
EvilProxyを用いたクラウドアカウントを乗っ取る攻撃キャンペーンが100以上のグローバル組織の経営陣を狙う | Proofpoint JP
主なポイント プルーフポイントのリサーチャーによると、過去6ヶ月の間に、大手企業の上級管理職のクラウドアカウントの乗っ取りに成功したインシデントが100%以上劇的に急増しました。 全世界で100以上の組織が標的となり、合わせて150万人の従業員が被害に遭いました。 攻撃者は、リバースプロキシアーキテクチャに基づくフィッシングツールであるEvilProxyを利用し、MFAで保護された認証情報とセッションクッキーを盗み出しました。 多要素認証の導入が進む中、これをかいくぐるための巧妙なAdversary-in-the-Middleフィッシングと高度なアカウント乗っ取り手法を組み合わせた脅威が急増しています。 多要素認証(MFA)の利用は、ここ数年、組織で増加しています。しかし残念ながら、MFAを導入しているテナントでのアカウント侵害が増加しています。プルーフポイントのデータによると、過去1年間
サイバーセキュリティ対策9か条!最新の状態をキープしよう #サイバーセキュリティ #セキュリティ対策 - 叡智の三猿
サイバーセキュリティ月間は、国民がサイバーセキュリティについての関心を高め、理解を深めるため、政府が主導し、サイバーセキュリティに関する様々な取り組みを集中的に行うことを目的にしています。 毎年、2月1日から3月18日までをサイバーセキュリティ月間として定めています。 2024年サイバーセキュリティ月間 - NISC NISC(内閣サイバーセキュリティセンター)では、下記を「サイバーセキュリティ対策9か条」として、国民への理解を促進しています。 OSやソフトウェアは常に最新の状態にしておこう パスワードは長く複雑にして、他と使い回さないようにしよう 多要素認証を利用しよう 偽メールや偽サイトに騙されないように用心しよう メールの添付ファイルや本文中のリンクに注意しよう スマホやPCの画面ロックを利用しよう 大切な情報は失う前にバックアップ(複製)しよう 外出先では紛失・盗難・覗き見に注意し
Amazon Web Services ブログ 【寄稿】サイバーレジリエンスとはなにか? この投稿はネットアップ合同会社 岩井 陽太郎 氏に、サイバーレジリエンスの解説と AWS における実装ポイントについて寄稿いただいたものです。 皆様はサイバーレジリエンスという言葉に聞き覚えはありますか?企業のデジタル化が進む中、ビジネスにおける IT 部門の担う責任は日々重くなってきています。これまではサイバーセキュリティの考え方に則った、被害をどう防いでいくかに焦点を当てた「防御」の考え方に大きく注目が集まっていましたが、際限のない投資が必要なことから「セキュリティ疲れ」とも呼ばれる反動が起きています。そこで昨今では「防御」だけではなく、被災することを前提としてそこからいかに迅速に「回復」・「復旧」するかという「サイバーレジリエンス」という考え方が注目を集めています。 本ブログシリーズでは、サイバ
Googleの脅威分析グループ(以下TAG)は2024年1月18日(米国時間)、ロシアの脅威グループであるCOLDRIVER(UNC4057、Star Blizzard、Callistoとしても知られる)による、NGO(Non-Governmental Organization)、元情報機関や軍の将校、NATO加盟国の政府要人に対するクレデンシャルフィッシング活動の新しい動きを報告した。 TAGは長年、ロシア政府の利益に沿ってスパイ活動をしているCOLDRIVERなどの取り組みに対抗し、脅威活動の分析と報告を続けてきた。 TAGによると、COLDRIVERはウクライナ、NATO諸国、学術機関、NGOに対してクレデンシャルフィッシング攻撃を繰り返している。標的からの信頼を得るため、COLDRIVERはなりすましアカウントを利用して特定分野の専門家であるかのように装ったり、標的の関係者を装った
TPM: 情報セキュリティを確保するハードウエア!キー管理、改ざん防止、デジタル署名! #TPM #情報セキュリティ - 叡智の三猿
TPM(Trusted Platform Module)は、情報セキュリティを確保するため、機密情報を保護するハードウエア(ICチップ)です。TPMの主な機能は以下の通りです。 キー管理:TPMは暗号鍵の生成、保管、管理を行います。これにより、重要な鍵情報をハードウェアレベルで保護し、ソフトウェアからの不正アクセスを防ぎます。 改ざん防止:TPMはコンピューターの起動時にセキュアブートプロセスをサポートします。勝手にシステムの重要が情報が変更されていないことを検証します。 デジタル署名:TPM はデジタル署名を生成し、検証します。デジタル署名により、通信の信頼性が高まります。 セキュアストレージ:TPMはセキュアなストレージ領域を提供し、機密情報(証明書、パスワード、秘密鍵)を安全に保管できます。 認証:TPMは多要素認証をサポートし、ユーザーの認証プロセスを強化します。 TPM は 20
世界最大のコンピューターネットワーク機器開発会社であるCiscoのネットワーク機器に存在する脆弱(ぜいじゃく)性を悪用する「ArcaneDoor」と呼ばれるサイバー攻撃が検出されています。ハッカーはArcaneDoorを用いて世界中の政府ネットワークに侵入しているそうです。 ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/ Cisco Adaptive Security Appliance and Firepower Threat D
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案しました。 その新しいプロトコルは「多要素認証(MFA)」で、パスワードだけでなく追加の認証要素が必要です。ジェイクはMFAの導入に熱心で、会社の経営陣を覚悟しました。 導入後、社内の従業員は初めは違和感を思い出しました。毎回、アプリで生成されるセキュリティコードを入力する手間がかかりましたが、ジェイクはセキュリティの重要性を強調し、みんなが安心してサポートまでしました。 やがて、ジェイクは不審な活動を検出しました。誰かが社内システムに侵入しようとしていました。パスワードは既知のものでしたが、MFAが攻撃者を阻止しました。ジェイクとセキュリティチー
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。 テレワークの普及により、クライドサービスの利用が拡大しました。 クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。 一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。 サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。 テレワーク下で期待された防御策が「多要素認証」です。 多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の
グループメールの設定ミスによるAWSアカウントの乗っ取りと対策 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 皆様はAWSやGoogle Workspaceなどのクラウドサービスは活用されているでしょうか。弊社で実施するペネトレーションテストでも、「AWSアカウントの乗っ取りが可能か」ということを目的に様々なスコープでテストを行うことがあります。 AWSにおけるrootユーザは、AWS上に展開されたすべてのリソースへのアクセス権を所有し追加のリソースの作成も可能です。攻撃者にとってみてもrootユーザを奪取することは、企業・組織が所有する重要な資産に対してアクセスを行うための攻撃目標になります。 そして、攻撃者にrootユーザの奪取がなされないためにも、多要素認証(MFA)の設定等を行い、AWSアカウント全体
いまや、クラウドサービスは「百花繚乱」の様相を呈してます。ネットでCRM(顧客管理システム)のクラウドサービスを探そうとすると、40余りのサービスが比較検討可能な状態です。 同じ用途でこれだけサービスがあると、クラウドサービスの事業者は相当なしのぎを削って、自社のプロダクトを競争優位に導こうとしてることが想像つきます。 すこしまえに、CRMシステム を選択する際、何がキーポイントになるかのアンケートを複数の法人に行ったことがあります。 そこで得た回答は、第一に「情報セキュリティ」で、第二に「操作性」でした。情報セキュリティについては、6割を超える法人が「非常に重視している」と、みているようです。 ひとくちに「情報セキュリティ」や「操作性」といっても、多数の仕組みがありますが、CRMのクラウドサービスを利用する際に、あえて3つ重視することをあげるなら、以下がポイントになると考えます。 情報セ
「パスキー」とパスワードの違いって何?
IT業界はパスワードを廃止し、より優れた認証方式へと移行しようとしている。パスワードの安全性は十分ではないからだ。パスワードに代わる認証方法として、AppleやGoogle、Microsoftは「パスキー」を選択した。パスキーはなぜパスワードよりも「強い」のだろうか。 パスキーとパスワードは何が違うのか パスキーは従来のパスワードとはそもそも何が違うのだろうか。 パスワード管理ソリューションを提供する1Passwordは、数回に分けてパスキーと従来のソリューションの違いを解説した。前編ではパスキーとパスワードの違い、パスキーと多要素認証の違いを紹介しよう。 Webアプリケーションにサインインする場合を考えてみよう。パスワードを使う場合、アカウント作成時にまず短い文字列を決めておく。これがパスワードだ。サインイン時に文字列を入力して、これが元の文字列と一致すればアクセスが可能になる。 パスキ
トヨタフィナンシャルサービスは12月5日(現地時間)、「Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditbank GmbH - Toyota Deutschland Media-Website」において、ドイツのトヨタクレディットバンクを含む複数の拠点のシステムにおいて不正な活動を検出したと発表した。 このサイバー攻撃により個人情報にアクセスされたとしており、情報漏洩を認めたものとみられる。これは先月報じた「トヨタファイナンシャルサービスにランサムウェア被害、身代金要求 | TECH+(テックプラス)」の続報となる。 Text - Aktualisiertes Statement Toyota Financial Services Germany/ Toyota Kreditba
スマートフォンでは当たり前になった生体認証ですが、Windwos HelloのおかげでノートPCにも一般的に搭載されるようになってきました。特に指紋認証については、赤外線カメラを利用した顔認証よりもWindows Helloのハードウェア要件を満たしやすいからか、多くのノートPCに搭載済みです。今回はこの指紋リーダーを使って、Ubuntuログイン時の処理を「パスワードレス」にしてみましょう[1]。 Ubuntuで指紋認証ログイン 実はUbuntuには最初から指紋認証でログインする仕組みが備わっています。よって対応している指紋リーダーデバイスがあればすぐにでも使えるのです。まずはそちらの手順を紹介しましょう。最初に「設定」の「ユーザー」を開きます。もしサポートしている指紋リーダーが接続されていたら、そこに「指紋認証ログイン」が表示されるはずです。 図1 指紋リーダーが接続されているとパスワー
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 11 月 6 日に米国の Microsoft Entra (Azure AD) Blog で公開された Emphasizing Security by Default with Advanced Microsoft Authenticator Features の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 弊社では、これまで多要素認証 (MFA) の重要性を強調し、MFA の方法によって認証の強度に違いがあること、特に Microsoft Authenticator は電話認証 (そろそろ使うのやめましょう!) よりもかなり安全性が高いことを繰り返し申し上げてきました。またこれまでの取り組みとして、Microsoft Authenticator における番号
ウェブサイトへのログイン状態を維持してくれたり、サイトの設定を保存してくれたりする「Cookie」は、便利だからこそ悪意を持った攻撃者にとっては格好の標的であり、Cookieを盗み出すマルウェアによって、アカウントに不正アクセスされる事例は後を絶ちません。こうした事例を防ぐため、GoogleがCookieを盗まれても安全な状態を保つための新機能「DBSC(Device Bound Session Credentials)」を開発していることがわかりました。 Chromium Blog: Fighting cookie theft using device bound sessions https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html New Chrome feature aims to sto
Auth0️で実装する|ユーザー体験を向上するEmailのみでのシンプルなパスワードレス認証 | TC3株式会社|GIG INNOVATED.
はじめに 認証によるセキュリティの担保が大事だということは言うまでもないですが、セキュリティを万全にしようとすればするほど認証が終わるまでのハードルは高くなり、必然的にユーザー体験が落ちてしまうという結果に陥りがちです。 安全を優先するかユーザ利便性を重視するかサービス開発者にとっては悩ましいところですね。 安全性が高い認証のやり方としてMFA(Multi-factor Authentication:多要素認証)が広く使われています。ユーザー名とパスワードだけでなく、さらにもう1つ追加の検証要素を要求することで、万が一ユーザー名とパスワードが漏洩したとしても認証を突破される可能性を小さく出来る手軽な方法として普及しているようです。 ただ、このMFAも一部の人にとってはハードルが高いように思います。 と言うのはGoogle Authenticatorアプリなどを使ったMFA認証はスマホなどの
この記事は ドワンゴ Advent Calendar 2023 の16日目の記事です。 新卒採用イベントで会社説明をする機会があり、その中でもタイトルにもさせてもらっている通り「ものづくりが好き」をはじめとするドワンゴのエンジニア文化などの話をさせてもらいました。 会社説明で利用したスライドの抜粋 特にスライド中にも書いてありますが「とりあえず作ってみる」「不便なものはハックする」「あらゆるものをカスタマイズする」は、会社説明の中でもフォーカスしたかったものの時間の関係で話せなかったため、これまで自身で作成したツールの紹介や利用している技術を紹介できればと思います。 AWSマネジメントコンソールへのログインを行うためのCLIツール このツールは、AWS CLIを利用する際に設定するであろう ~/.aws/credentials に保存されているアクセスキー等を用いて、フェデレーショントーク
サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]
サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR] Okta(オクタ)は、パスワードレス認証や多要素認証などの技術を活用し、業務で使う様々なSaaSアプリのシングルサインオンなどの便利で安全なアイデンティティ管理とアクセス管理のプラットフォームを提供する代表的な企業として知られています。 2021年には開発者に人気のあったアイデンティティ管理プラットフォームの「Auth0」を買収、サービスを統合したことで、この分野での地位をさらに強固なものとしました。 その同社は2023年10月、顧客企業のサポート管理システムへの不正アクセスがあったことを公表しました。攻撃者は、顧客がサポート管理システムにアップロードしたファイルの中からセッショントークンを窃取し、それを使って5社の顧客企業のOktaテ
![サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/db133939d9a025b6639537fffa5718999da3dbb4/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2024%2Fokta_secureidentitycommitment01.png)
2024年1月に発生したMicrosoftの上級幹部チームへのハッキングは、国家に関連した世界有数の脅威グループによる積極的で大胆な行動と見られている。 ベテランの研究者や業界アナリストは、この攻撃についてMicrosoftのセキュリティ能力における長年の弱点を再認識させるものだと考えている。 この他、ビジネスアプリケーションとクラウドコンピューティングで圧倒的なシェアを誇るMicrosoftは、これまであまりにも自由だったとの見方もある。 スタンフォード大学のサイバーポリシーセンターのフェローであり、ホワイトハウスでサイバーポリシーを担当するディレクターを務めたA.J.グロット氏は「はっきりさせておきたいのは、Microsoftは犯罪の被害者だということだ。しかしサイバー領域におけるMicrosoftの行動は、車を荒れた地域に駐車し、ドアを開けっ放しにして貴重品を見えるところに放置したの
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。 サイバー攻撃に対してパスワードはあまりにも守りが弱い。そのため、パスワードに加えて何らかの要素を追加して防御する多要素認証(MFA)が広く使われている。 だが多要素認証を導入すれば鉄壁の守りが手に入ると考えてはいけない。攻撃者がどのような手口で多要素認証を突破するのか、攻撃を防ぐにはどうすればよいのかを紹介する。 多要素認証をどうやって突破するのか Keeper Securityのティム・トラン氏は多要素認証の弱点と、弱点をカバーする方法を次のようにまとめた。 多要素認証を有効にすると、オンラインアカウントの保護がより強力になる。パスワードだけを使うよりも良い方法だ。だが、一部の多要素認証はサイバー攻撃に対し
AWSの生成AI最新機能ハンズオン!BedrockのKnowledge BaseとAgentsに入門しよう - Qiita
AWSの生成AI最新機能ハンズオン!BedrockのKnowledge BaseとAgentsに入門しようAWSハンズオンbedrockAgentsForAmazonBedrockKnowledgeBaseForAmazonBedrock この記事について 2024年1月31日、以下のオフライン勉強会にてAmazon Bedrockの最新機能ハンズオンを予定しています。 こちらは都内での開催となるため、遠方のかたもハンズオンを実施できるよう、先行してハンズオン手順をこの記事にて公開させていただきます。(当日参加予定の方は、同じ内容をイベント内で実施する予定ですのでご留意のうえ読んでいただければと思います) 本ハンズオンの実施にあたり、多少の課金(数百円以内)が発生することをご了承ください。実施後には忘れず不要なリソースの削除をお願いします。 なお、Bedrockのモデル呼び出し料金は一部マ
毎年、2月から3月にかけては、サイバー攻撃がもっとも多発する時期として、知られてます。 帝国データバンクは15日、2月中旬以降にサイバー攻撃の検知が急増しているとする調査結果を発表した。2021年3月からの過去1年間で、22年2月中旬~3月中旬にサイバー攻撃を受けたとする企業が3割に上り、攻撃を受けた時期として最も多かった。事業活動に支障が出る例も相次いでいる。 ~日本経済新聞(2022年3月15日)より 政府がサイバーセキュリティに対する取組を推進するため、2月1日から3月18日までを「サイバーセキュリティ月間」としているのは、サイバー攻撃の被害が多い背景があるのでしょう。 サイバー攻撃を仕掛ける人が待ち望んでいるのは、ターゲットとなる会社員が余計な仕事をしたくないと思うタイミングです。 年末年始はその典型ですが、2月の中旬辺りから年度末も同様です。 日本は3末が決算の会社が多いので、2
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ガートナージャパンは、日本企業によるセキュリティ対策の実施状況と、主な対策のトレンドを発表した。「『誰の何が良くなるのか』を念頭に置き、全体最適や運用効率の最大化の視点から戦略的なアーキテクチャーについて議論することが重要」と解説する。 調査は、3月に国内の企業や組織を対象(回答400件)として、「ゼロトラスト」の名目で実施したセキュリティ対策について尋ねた。最も多いのは、「アイデンティティ/アクセス管理(多要素認証など強固な認証)」の33.3%、2番目は、「ネットワークセキュリティ(SWG/CASB/ZTNAなどインターネット境界のゼロトラスト化)」の32.0%、3番目は「アイデンティティ/アクセス管理(IDaaS)」の27.8%だっ
Azure の正しい始め方① - Azure Plan (従量課金) サブスクリプション、Microsoft Entra ID (Azure AD)、課金アカウント (MCA) の全体像 - Qiita
Azure の正しい始め方① - Azure Plan (従量課金) サブスクリプション、Microsoft Entra ID (Azure AD)、課金アカウント (MCA) の全体像AzureAzureサブスクリプションEntraEntraID 本シリーズの記事について Azure OpenAI Service が大きな話題を呼ぶ中で、今まで Azure サブスクリプションを持っていないかったユーザーの Microsoft Azure の新規利用が増えています。その際、EA 契約 (EA/ESA/SCE契約) や CSP 契約ではなく、オンラインでサインアップして Azure サブスクリプション作成されるケースが散見されます。この方式は気軽に Azure を触ってみるには手っ取り早く便利です。 Microsoft Azure を組織やビジネスでセキュリティやガバナンスを意識して利用する
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い?
パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表 あなたの組織は大丈夫?
パスワードの「定期的な変更は不要」だが注意点も 総務省がサイバーセキュリティサイトで呼びかけ
パブリック プレビュー: パスキーのサポートを Microsoft Entra ID に拡張
セキュリティを強化する多要素認証の魅力とは? #セキュリティ #多要素認証 - 叡智の三猿
改めて知る Microsoft Entra 条件付きアクセス
自社のクラウドセキュリティーは大丈夫か、今すぐ点検すべき12項目
「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?
パスワードレス認証をより安全便利に - MIXI Mがパスキーに対応しました
【寄稿】サイバーレジリエンスとはなにか? | Amazon Web Services
Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告
Cisco製品のゼロデイ脆弱性を悪用して政府ネットワークに侵入する「ArcaneDoor」
セキュリティエンジニア ジェイクが提案する「多要素認証」の導入と従業員の対応 - 叡智の三猿
ログイン認証の混乱(2) ~多要素認証とFIDO~ - 叡智の三猿
クラウドサービスの競争から「ゲームの理論」 - 叡智の三猿
トヨタフィナンシャルサービス、ランサムウェア被害と個人情報の流出発表
第786回 Ubuntuでもあこがれの指紋認証を! | gihyo.jp
Microsoft Authenticator の新機能によるセキュリティの改善
Chromeに搭載される新機能「DBSC」は盗まれたCookieの悪用を防ぐ
ドワンゴの「ものづくりが好き」というエンジニア文化の話 - ドワンゴ教育サービス開発者ブログ
Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?
サイバー攻撃が激増!2月から3月が危険な時期 #セキュリティ - 叡智の三猿
企業はゼロトラストでどんなセキュリティ対策をしているか--ガートナーが調査