Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
世界最大の認証局Let's EncryptがOCSPサポート停止、企業ユーザーにも影響
Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
現代において、携帯電話番号とスマートフォンの組み合わせは本人確認の重要な“要素”で、特にスマートフォンは新たな本人確認デバイスとして今や必要不可欠です。 例えばセキュリティ強化を目的とする「多要素認証」は利用者の「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせます。記憶に頼るパスワードは「知識情報」ですが、使い回しや漏えいによってもはやこれだけに頼るのは危険です。そのため、かつてのワンタイムパスワードは専用のトークンを物理的に配布し、これを「所持情報」として多要素認証を実現していました。今ではこれをスマートフォンのアプリとして配布し、個人を特定するものとして電話番号が利用されています。 日本で流行の兆しをみせる「SIMスワップ」に要注意 その実態とは? しかし最近、こうしたスマートフォンでの認証方式を脅かす非常に悩ましい事件が日本で発生しました。2022年10月16日に神戸
iOS 16にアップデートすべきか 強化されたセキュリティ機能を知る
先日、Yahoo! Japanのサイトにログインすると普段と違うダイアログが表示され、思わず身構えました。正確には、身構える前にどんどん進んでしまい、後になって「なにかが変だ」と気が付きました。 これがフィッシングなら完全に終わっていましたが、幸いにもこれは「iOS 16」の新機能「パスキー」の移行ステップの一部でした。まさかこんなに早くパスキー対応をしていると思わずびっくりしました。Yahoo! Japanのアカウントをお持ちでiOS 16にアップデートしている方は是非体験してみてください。 Yahoo! Japanでパスキーへ移行を行うと、ログインIDを入力後、FaceID/TouchIDなどで生体認証を実施し、デバイス内の秘密鍵とサービス事業者に保存した公開鍵を用いて本人認証を行う。パスワードも6桁のワンタイムパスワードも使わずにログインが可能(筆者撮影) iOS 16で楽しみにして
あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。 今回は筆者の個人的な“思い違い”を正したいと思います。この連載で何度も取り上げている、パスワード漏えい前提の世界における対策のひとつ「2要素認証」について、過去の回では「2段階認証」という言葉も混在して使っていました。 この2つは厳密には異なるものだということは理解しつつも、多くのサービスでは「2段階認証」という名称を使うことが多いため、分かりやすさを優先して「2段階認証」と記載していたと思います。 こうした経緯もあり、先日筆者は「多くのサービスにおいて2段階認証は2要素認証の要件を満たしているので、あまりこの2つの違いはないのではないか」とSNSに投稿したところ、セキュリティ
7Payの不正利用を受けて他社Payの複数端末利用時の不正対策について調べてみた - soheiのはてなブログ(仮)
7Payの不正利用の原因は、別端末でログインされて利用されてしまったこと(ID・パスワードが漏れたことによるリスト型攻撃による)とのことで、他のPay系サービスがどうなっているか調べてみました。 (追記) パスワードリセットの仕様が元凶であるというという事実を知る前に検証した記事になります。 japanese.engadget.com 今回問題になっているのは、クレジットカードを予め登録した上で、チャージまたは都度決済を行うものだと思います。自分の利用状況下では 楽天Pay, d払い, Origami Pay がそれに当たりました。 このようなスマホ決済アプリにおける不正利用対策として、最低必要になるポイントは2つと考えます。 (1) 別端末でのログイン時にセキュアな認証をしているか(IDパスワードだけでなく、2段階認証などの追加の認証があるか) (2) ログイン後、登録されているクレジッ
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
Microsoft Passport とは ?
既に、本社の Active Directory チームにより以下の投稿がBLOGに掲載されていますのでご存知の方も多いかと思います。 Microsoft Passport and Azure AD: Eliminating passwords one device at a time! https://blogs.technet.com/b/ad/archive/2015/07/21/microsoft-passport-and-azure-ad-eliminating-passwords-one-device-at-a-time.aspx Windows 10 には Microsoft Passport という機能が実装されました。この機能により、サーバーに保存されたパスワードを使わずに、ローカルコンピューターに保存された(ローカルでしか使えない)「PIN」を使用して認証することができる
仕様から学ぶOpenIDのキホン - @IT
にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。本連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部) OpenIDってなんだろう? 現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日本での普及は進んでいない状況です。 これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。 本連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。 広がりつつあるブラウザベ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「鉄人28号」が抱える脆弱性とは? ロボット悪用を防ぐ”認証”を考える | ニコニコニュース
Google、2段階認証オプションに「Googleからのメッセージ」を追加、認証済みスマートフォンでアカウント認証 
推測の困難なパスワードを設定してもWindowsのスクリーンロックが数十秒で強制解除される?