多要素認証を私物スマホでやっていいのか問題
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
すべてのパブリックリポジトリに対してSecret scanningアラートの一般提供(GA)を開始
2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版の提供開始をお知らせしました。リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージにとても大きく貢献しています。 GitHubは、すべてのパブリックリポジトリを対象に、無料で利用できるSecret scanningアラートの提供を開始しました。お使いのすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。 GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しています。シークレ
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
東映アニメーションへの不正アクセスについてまとめてみた - piyolog
2022年4月28日、東映アニメーションは3月7日に公表していた不正アクセスによるシステム障害について調査結果を公表しました。ここでは関連する情報をまとめます。 不正アクセスの影響を受け作品制作が遅延 東映アニメーションは不正アクセスを受けたことに起因して、通常業務だけでなく同社が関係する作品制作の一部に遅れが生じた。具体的に影響が公表された作品は以下の5点。また関連商品の販売時期やキャンペーンが作品放送とタイミングが合わず、延期をしたり、放送前に登場キャラクターの商品が販売されてしまったり、告知が行われてしまうことがあった。 作品名 遅延が生じた期間等 ドラゴンクエスト ダイの大冒険 3月19日~4月9日までは再放送4回を実施。4月16日より再開(第73話)。*1 *2 デリシャスパーティ♡プリキュア 3月13日~4月10日までは過去のプリキュア映画作品の分割放送(3回)と再放送2回を実
HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)
2022年4月16日(日本時間)にアナウンスがあった、Heroku/Travis-CIのOAuthトークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナー向けと個人向けで分けてあります。 追記: 複数の補足のコメントを頂き、記事にも取り込んでいます。ありがとうございます! 注意 執筆者はGitHub, Heroku, Travis-CIの専門家ではありません。この記事は誤っている可能性があります。 この記事は現在調査中の問題について書かれています。最新情報は必ず公式サイトをご確認ください。 GitHub Heroku Travis CI インシデントの概要 GitHubがHerokuとTravis-CIのOAuthアプリケーションに発行したトークンが流出・悪用したことで、それらの連携が有効だった多くのOrgani
【2024年】マルウェアの種類─確実に身を守る術を学ぶ
あらゆるものが密につながった今日、サイバー犯罪は急増の一途を辿ります。マルウェアは、その中でも、最も多く見られる脅威の一つです。 マルウェアには様々な種類があり、脅威のレベルもそれぞれです。ハッカーはマルウェアを使って、デバイスの傍受、データ漏洩、企業全体の破壊、深刻な金銭的損害などを引き起こします。 では、マルウェアとは一体何なのか、そしてマルウェアとどのように戦えばいいのでしょうか。 今回の記事では、マルウェアについて、その種類、検出と除去の方法、悪質なマルウェアの攻撃から身を守る方法など、あらゆる側面を解説します。 それでは参りましょう。 動画でもマルウェアについての解説をご用意していますのでご確認ください。 マルウェアとは マルウェアとは、英語で「malicious=悪意のある」+「software=ソフトウェア」の略です。他のユーザーのデバイス、ウェブサイト、ネットワークに損害を
FBIの「LINEから入手可能な個人情報リスト」がリークされる、一体どんな情報にアクセス可能なのか?
FBIが内部で使用していた「各メッセージアプリに要求できるデータのリスト」がインターネット上に公開されました。公開されたリストの対象アプリには日本で広く利用されているLINEも含まれており、FBIがLINEから入手できる個人情報の内容が分かる内容となっています。 Document Detail - Property of the People https://propertyofthepeople.org/document-detail/?doc-id=21114562 FBI Document Says the Feds Can Get Your WhatsApp Data -- in Real Time - Rolling Stone https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-fa
WindowsでiCloudキーチェーンのパスワード管理が可能&EdgeでiCloudが使えるようになったので実際に導入してみた
Appleが2021年8月17日に、クラウドストレージサービス「iCloud」のWindows向けクライアント「iCloud for Windows 12.5」をMicrosoft Storeでリリースしました。このiCloud for Windows 12.5でWindowsでiCloudキーチェーンを管理することが可能になっただけでなく、これまでGoogle Chromeで配信されていた拡張機能に加え、Microsoft Edgeでも拡張機能でiCloudを利用できるようになったとのことで、実際にiCloudパスワードを導入してみました。 iCloud を入手 - Microsoft Store ja-JP https://www.microsoft.com/ja-jp/p/icloud/9pktq5699m62#activetab=pivot:overviewtab Windows
サービスの統制を保証する「SOC2」の概要をざっくりまとめてみた | DevelopersIO
オペレーション部の江口です。7月1日に入社してはや半月余りが経ちました。ようやく会社の雰囲気にも慣れ、少し落ち着いてきた感があります。 さて、今日はクラスメソッドの認証の取り組みについて少しご紹介です。 当社ではお客様に安心してお付き合いいただけるよう、様々な認証を取得しています。 クラスメソッド 各認証ポリシー その一環として、昨年より当社サービス「クラスメソッドメンバーズ」に対して SOC2の評価を受け、保証報告書を受領しています。 クラスメソッド、内部統制を評価したSOC2 Type1 保証報告書を受領〜AWS支援サービス「クラスメソッドメンバーズ」のサービス体制を強化〜 ところでこのSOC2というのは、いったいどのようなものでしょうか。 上記のリンクでも"「セキュリティ」「可用性」にかかる内部統制のデザインを外部監査人が評価したもの" と簡単に解説は書いてありますが、自分の勉強がて
Googleアカウントの2段階認証、まもなく自動で有効化へ
Googleは米国時間5月6日、より多くのGoogleアカウントユーザーに2段階認証(2要素認証)の有効化を促す計画を明らかにした。2段階認証とは、フィッシング詐欺やデータ漏えいによる流出から認証情報を保護するための、さらなるセキュリティ階層だ。 5月の第1木曜日(今回は6日)は「世界パスワードの日」で、オンラインアカウントの保護においてパスワードに依存しすぎないように啓発することを主な目的とする日だ。 Googleは同日、適切に設定されているGoogleアカウントのユーザーについて、まもなく2段階認証を自動的に有効化することを明らかにした。 2段階認証における第2の要素は、セキュリティキーであれスマートフォンであれ、ユーザー名とパスワードを所有していても、そのユーザーの端末に物理的にアクセスできなければアカウントにログインできないようにする効果がある。 現在、2段階認証を有効にしているユ
Introducing 1Password Secrets Automation | 1Password
Secure, orchestrate, and manage your company’s infrastructure secrets with 1Password Secrets Automation. Today is a big day at 1Password. Today, we’re launching 1Password Secrets Automation, a new way to secure, orchestrate, and manage your company’s infrastructure secrets. With the addition of Secrets Automation, 1Password can now protect all of your company’s secrets in one place. Passwords and
RFC 8996でTLS1.0とTLS1.1が廃止に - ASnoKaze blog
IETFで、TLS1.0とTLS1.1を正式に非推奨にする「RFC 8996 Deprecating TLS 1.0 and TLS 1.1」が公開されました。 新しいプロトコルへの移行期間は十分であるとし、TLS1.0, TLS1.1, DTLS1.0は廃止となり、TLS 1.2, TLS1.3, DTLS 1.2のみが使用できます。表現としても、MUST NOTで利用を禁止しています。 TLS 1.0 MUST NOT be used TLS 1.1 MUST NOT be used 2015年に公開された、TLS利用時の推奨事項を定めたRFC7525がありますが、今回の禁止内容も含めて改定作業が開始されています。詳細については以前書いたとおり asnokaze.hatenablog.com 更新されるRFC RFC 8996では、既存のRFCについても言及しており TLS1.2以上で
管理不備と報じられたLINEの問題についてまとめてみた - piyolog
2021年3月17日、日本国内のLINE利用者の個人情報に対し、国外から技術者らがアクセスできる状態にあったにもかかわらず、規約上で十分な説明が行われていなかったと報じられました。ここでは関連する情報をまとめます。 何が問題と報じられたのか LINEの(主に日本国内利用者における)個人情報保護管理の不備が報じられた。報道で問題として指摘されたのは国内LINE利用者の個人情報移転先である国名の明記。移転先やアクセスを行う国名は原則として明記を行った上、利用者から同意を得るよう個人情報保護委員会が求めていた。 LINEは利用者へ国外で一部利用者情報を取り扱っていたことについて十分な説明ができていないと判断。利用規約において、「利用者の居住国と同等のデータ保護法制を持たない第三国に個人情報を移転することがある」と説明するも国名までは明記していなかった。 今回は管理不備とされる問題が報道で指摘され
多要素認証が効かない「Pass-the-cookie攻撃」の仕組み
最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。 2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。 同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。 サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。 MFAは魔法ではない Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入
Windowsのソースコードが6200万円で売りに出されていることが発覚
2020年12月に発生した、ネットワーク監視ソフト「Orion Platform」への大規模なサイバー攻撃により、アメリカの政府機関や大企業など多くの組織が甚大な被害を受けました。さらに、このサイバー攻撃で盗み出されたデータを販売していると主張するサイト「SolarLeaks」が登場し、OrionやMicrosoft Windowsのソースコードを提供すると主張しています。 solarleaks.net/ http://solarleaks.net/ SolarLeaks site claims to sell data stolen in SolarWinds attacks https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-att
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AMD製プロセッサーに複数の脆弱性 ~Athlon、Ryzen、Threadripperなどに影響/マザーボードベンダーからBIOSのアップデートが提供され次第適用を
