意図せず不正アクセスしてしまった
久しぶりにFacebookにログインしようと思ったけど、 パスワード忘れたからSMSにワンタイムパスワードを送ってもらった。 そしたらログインできたのは全く関係のない海外のアカウント、多分スペイン語圏の男性の。 めっちゃびっくりしてすぐログアウトした。なんでこんなこと起こるんだよ。 自分の携帯電話番号はもちろん日本の番号で、Facebookへの入力は国番号(+81)からちゃんと入れている。 そういえばたまにスペイン語のワンタイムパスワード発行のSMSがちょくちょく届いてたのを思い出した。 この番号は去年新規で契約したものだから、再割当ての番号の可能性が高い。 以前その男性は日本に居住していて、この番号を使っていたってことなのかなぁ。 それにしても気味が悪いし、その男性も困っていると思う。 でもどうしたらいんだろ。 SMS認証はセキュリティ的に強いと思っていたけど、番号の再割り当てがあること
こんにちは、Azure Identity サポート チームの 竜 です。 本記事は、2022 年 12 月 15 日に米国の Azure Active Directory Identity Blog で公開された End user passwordless utopia を意訳したものになります。 Azure と Azure Active Directory (Azure AD) で利用できる技術はたくさんありますが、全体像を把握し、それらがどのようにエンドユーザーのユーザー体験に作用するという全体像については見逃しがちです。 Azure AD で利用できる技術には以下があります: Azure AD 多要素認証 (MFA: multi-factor authentication) パスワードレス認証 条件付きアクセスおよび認証強度 デバイス登録 プライマリ更新トークン (PRT: Prim
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。 本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and Misconceptions」で、米国Amazonのレビューでは4.6の高評価を得ています。また、「インターネットの父」ことヴィントン・サーフ氏が本書に前書きを寄せています(後述)。 はじめにサイバーセキュリティは、その短い歴史にも関わらず、神話や都市伝説に満ちています。古典的なものとして、本書の冒頭では、「ウイルス対策企業が自社製品を売るためにマルウェアを作って拡散した」が紹介されています。 本書は、このようなセキュリティの都市伝説や神話をとりあげ
取締役退任後の引継義務履行としてのパスワード開示請求 大阪高判平31.3.27(平30ネ1767) - IT・システム判例メモ
在職中に業務に関するインスタグラムのアカウントを担当していた取締役に対し,パスワードの開示等を求めた事案。 事案の概要 Yは,X社の代表取締役として,個人のgmailアドレスを用いてインスタグラムのアカウント(本件アカウント)を作成し,Xが販売していた商品の写真等を投稿していた。Yは他にも,元ラグビー日本代表選手であったことから,本件アカウントには仲間のラグビー選手の写真なども投稿されていた。なお,本件アカウント名の一部には,Xのブランド名が含まれていた。また,アカウントのホーム画面にはXのウェブサイトのリンクが設置されていた。 Yは平成29年5月1日にXの代表取締役を退任し,取締役も辞任した。その後,Xは,本件アカウントにログインできないことから,商品の写真を投稿することができず,利用者が減少して営業上の損害を被ったとして,Yに対し,取締役辞任に伴う引継義務(民法645条,会社法330条
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(1/5 ページ) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
本記事は、2022年5月に開催されたTechFeed Conference 2022のセッション書き起こし記事「パスワードのない世界に向けて(えーじ) — TechFeed Conference 2022講演より」を転載したものです。オリジナルはTechFeedをご覧ください。 皆さんこんにちは。えーじです。今日は「パスワードのない世界に向けて」というお話をしたいと思います。 パスワードだけでは守りきれない世の中に 皆さんご存知のように、今多くのWebサイトはパスワードを使ったログインが主流です。 しかし、どんなに堅牢なシステムでも、ユーザーさんが弱いパスワードを作ってしまったり、同じパスワードを複数サイトで使い回してしまったり、フィッシングに引っかかってしまえばアカウントは乗っ取られてしまいます。 近年フィッシングが急増していることからもわかるように、パスワードだけのシステムでは守り
さくらインターネットで、技術担当の執行役員と、最高情報セキュリティ責任者を務めている江草です。 最近、新型コロナウイルスの影響もあって在宅勤務などをされている方が増えていると思いますが、そういったときに、今までオフィスで使えていたサービスをどうやったら社外でも使えるかという話をしたいと思います。 在宅勤務やリモートワークとVPN さくらインターネットでは以前から「さぶりこ どこでもワーキング」という人事制度によって、1日単位で、あるいは午前中だけとか午後だけとかで、どこでも仕事してよいということをやっていました。さらに新型コロナウイルスの件もあって、現在では出社不要な人の大半が在宅勤務をしています。3月末にはすでに原則自宅勤務ということにして、全社リモートワークに転換しました。4月末の時点では93%の社員が在宅勤務を選択していました。仮に今後、新型コロナウイルスが終息したとしても、基本的に
Linux Daily Topics 2019年10月16日“脱帽です”―9億3,000万ハッシュ/秒でようやく判明したケン・トンプソンのパスワードは…? AT&Tのベル研において、かのケン・トンプソン(Ken Tompson)とデニス・リッチー(Dennis Richie)がUNIXの開発を開始したのが1969年、つまり今年2019年は"UNIX50周年"にあたるアニバーサリーイヤーでもある。その記念すべき年に、現代のハッカーたちが偉大な先駆者に挑んだ5年越しのゲームがゴールを迎えた。 RubyのWebサーバインタフェース「Rack」やテストフレームワーク「Bacon」の開発者として知られるLeah Neukirchenは2014年、BSD 3のソースツリーからパスワードファイル(/etc/password)を入手した。そこにはトンプソンやリッチーのほか、GoogleのCEOを務めたエリ
笑いごとじゃない!「PPAP」直ちに禁止すべき訳
1月下旬、ネット上を「PPAP」という言葉が駆け巡った。YouTubeで1億回以上再生されたピコ太郎さんの楽曲「ペンパイナッポーアッポーペン」ではなく、パスワード付きファイルをメールに添付して送ることを指す。 そもそもPPAPとは「Password付きZIPファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル)」の略。まず暗号化したパスワード付きZIPファイルを添付したメールを送り、その直後に解凍する際のパスワードを別のメールで送るという手順を指す。 PPAPは添付ファイルの中身を盗み見されたくない、誤送信しても中身を見られないようにしたい、といった理由で広がった。 だが、「ZIPファイルのパスワードは総当たりで突破できるため、盗聴対策にはならない。誤送信対策としても、結局メールでパスワードを送るので、その前に誤送信に気づかなければ意味がない。本来
ユーザーが実践できているかどうかは別として、サイバー攻撃で悪用されにくいパスワードを作成・運用するためのベストプラクティスはいくつもある。そのひとつに「パスワードを定期的に変更する」がある。IT部門が存在する企業では、ユーザーに定期的なパスワードの変更を強要しているケースも少なくない。しかし、このベストプラクティスはしばらくすると候補から外れるかもしれない。 The Hacker Newsは5月10日(米国時間)、「Is it still a good idea to require users to change their passwords?」において、企業はおそらく初めて、パスワードの定期的な変更を要求することがよいアイデアであるかを検討する必要に迫られていると伝えた。なぜなら最近、Microsoftが同社のパスワードに関するベストプラクティスを変更したためだ。同社の最新のパスワー
ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。 Bypassing 2FA - Secret double octopus https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/ 企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけ
コンビニ最大手のセブン‐イレブン・ジャパンのスマホ決済サービス、「7pay」で利用者から身に覚えのないクレジットカードの決済が行われているという連絡が相次いでいます。会社は、機能の一部を停止し、利用者に注意を呼びかけています。 会社によりますと3日になって、利用者から「7pay」で身に覚えのないクレジットカードの決済が行われているという連絡が相次いでいるということです。 このため会社は、3日午後4時以降、クレジットカードやデビットカードから専用アプリに入金する機能を一時的に停止し、詳しい状況を確認しています。 また、会社は、利用者に対して「7pay」の利用履歴を確認し身に覚えのない取り引きがあれば連絡するよう呼びかけるとともに、パスワードを使い回している人は変更するよう呼びかけています。 問い合わせ先は「7payお客様サポートセンター緊急ダイヤル」の0570-012-113で24時間対応す
IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 | スラド セキュリティ
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 特集:Webコンテンツの守り方 情報漏えい対策術 経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本
iPhoneのパスワードレス機能はWindowsとも連携するとAppleが発表。Windows上のChromeにiPhoneをかざしてログインも可能に、FIDO標準への対応で
iPhoneのパスワードレス機能はWindowsとも連携するとAppleが発表。Windows上のChromeにiPhoneをかざしてログインも可能に、FIDO標準への対応で 日本時間6月7日未明にAppleが開催したイベント「WWDC 2022」でAppleは、iOSデバイスで提供されるパスワードレス機能「Passkeys」が、Apple以外のデバイスとも連携するようになると説明しました。 と同時に、スクリーン上ではWindows 11のデスクトップ画面上にChrome(もしくはEdge)ブラウザのパスワードレスによるログイン画面が表示されていました。 つまり、Touch IDやFace IDを使ってApple以外のデバイスでもパスワードレスでログインできるようになる見通しです。 Passkeysをクロスプラットフォーム対応にすると明言 AppleはWWDC 2022で、iPhoneに代
AWSボリュームに暗号化は必要なのか? 当初、実際にAWSのデータセンターの実サーバーに物理的に侵入された場合や、AWSの管理システムへのハッキングした時くらいにデータを守れるという認識だったのでそれが正しいのかどうかAWSサポートに問い合わせをしてみた. AWSサポート問い合わせ結果(原文は載せれないので要約) 1. お客様のセキュリティあるいはコンプライアンス要件を満たせるようにご用意している機能 多くのユーザーはこのコンプライアンス基準へ準拠のためだけに、ストレージ暗号化の機能を利用しているのが現実らしい 2. AWSのデータセンターに対して物理的な侵害が発生した場合に、保護する事が可能になる これは想定していた当然のメリットである. 3. EBS と EC2 インスタンスとはネットワークを経由で通信するが、暗号化ボリュームを使用している場合この通信経路上も暗号化される これは少しび
1週間で数百万回もダウンロードされる人気JavaScriptライブラリが乗っ取られる、Windowsデバイスはパスワード盗難の恐れも
パッケージ管理ツールのnpmで公開されている「UAParser.js」は、ユーザーエージェントの判定処理を実行するJavaScriptライブラリであり、Facebook・Microsoft・Amazon・Googleなどの超大手企業を含む1000以上のプロジェクトで採用されています。そんなUAParser.jsがハッカーによってハイジャックされ、LinuxおよびWindowsデバイスを対象に暗号資産採掘やパスワードの盗難を行うトロイの木馬が仕込まれていたことが判明しました。 Security issue: compromised npm packages of ua-parser-js (0.7.29, 0.8.0, 1.0.0) - Questions about deprecated npm package ua-parser-js · Issue #536 · faisalman/u
NTT 東日本 - IPA 「シン・テレワークシステム」 新型コロナウイルス対策用 テレワークシステム 緊急構築・無償開放・配布ページ
NTT 東日本 - IPA 「シン・テレワークシステム」 Web サイトへようこそ トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ | 掲示板 (ユーザーサポートフォーラム)
5月以降開始された特別定額給付金のオンライン申請をめぐり複数の問題が発生しました。この問題を受け、郵送方式での申請を一部の自治体では推奨しています。ここでは関連する情報をまとめます。 kyufukin.soumu.go.jp オンライン申請で起きた3つの問題 給付金オンライン申請をめぐる問題今回の申請で生じた問題は大きく3つ。 署名用電子証明書の手続きに伴うシステム遅延、役所窓口混雑 申請内容不備や重複申請が簡易なものを含め相当数発生 申請データ突合が手作業のため1日あたりの処理可能件数が少ない 問題① オンライン申請のために窓口殺到 マイナンバーカードのパスワードがわからない等と自治体の窓口に出向く人が多数発生した。申請に必要な署名用電子証明書の新規発行・更新、パスワードの変更、ロック解除等が目的。 郵送方式で申請する場合は保険証、免許証の控えが利用できるが、給付金申請にマイナンバーカー
楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
この記事について この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2024年4月27日に配信されたものです。メールマガジン購読(税込み月額550円)の申し込みはこちらから。 第三者がフィッシングサイトなどを通じて入手した楽天IDとパスワードによって、My 楽天モバイルでeSIMの再発行を実施。モバイル通信サービスを乗っ取ってしまうという。 SMS認証で本人確認を行う他のサービスなども乗っ取られていくなど、さらなる犯罪に利用されてしまうことも予想される。 そもそも、楽天モバイルの仕組みは楽天IDとパスワードによって、eSIM再発行ができるなど、他社に比べてセキュリティが低いというのが以前から指摘されていた。 他社であれば、切り替えたい回線にSMSを飛ばす、あるいはeSIMを再発行する際、端末の紛失などでSMSを飛ばせない
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
2 要素認証に 1Password を使うのはよく考えてから | はったりエンジニアの備忘録 AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita TOTP のトークンを 1Password に保存するのはセキュリティ強度を弱めるので良くない、という話は知ってたので避けてたのだけど、ちょっとよくわからなくなってきた。 Windows(具体的には社有のSurface Pro)上の1passwordとiPhone上の1passwordの両方でMFAの二段階目をクリアできたということは、もうこの2段階目は特定のデバイスを持っていることに依存しないということだ。僕のIDで他のデバイスに1passwordをインストールすることができれば、さらにそのデバイスでも2段階目をクリアできる。「AWSのパスワード」と「特定のスマホ(デバイス)」ではなく、「AWSのパスワー
尼崎市が個人情報USB紛失した記者会見で「パスワードは英数字13桁」「毎年変えている」→amagasaki2022がトレンド入り
尼崎市役所【公式】 @City_Amagasaki 尼崎市公式アカウントです。まちの身近な出来事や魅力、災害情報など様々な尼崎市の情報を発信します。当アカウントでは、フォローやリプライは行いませんので、ご了承ください。city.amagasaki.hyogo.jp 尼崎市役所【公式】 @City_Amagasaki 【個人情報を含むUSBメモリーの紛失について】 住民税非課税世帯等に対する臨時特別給付金における個人情報を含むUSBメモリーの紛失が判明しました。 当該USBはパスワードが付され、内容については暗号化処理が施されています。現時点において外部への漏洩は確認しておりません。 2022-06-23 13:17:52
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など 12月2日から配布が開始されている最新のGoogle Chrome 108では、パスワードレスを実現する機能の「Passkey」がWindows 11、macOS、Android版で利用可能になっていることをGoogleが明らかにしました。 下記はブログ「Introducing passkeys in Chrome」で紹介されているAndroid版ChromeでのPasskey利用時の画像のキャプチャです。 Chromeは以前から業界標準のパスワードレス技術であるWebAuthn/FIDOに対応しており、パスワードを使わずデバイス側での指紋認証やPINコードなどによる認証によりWebサイトへログインできる機能を備えていました。 参考:Chrome 70から、WebAut
Google、新サインイン方式「パスキー(Passkey)」の Google アカウントサポート開始 「2 段階認証プロセス」に対する別オプションとして「パスキー」を設定可能に パスワードの終わりが始まる Google は 2023 年 5 月 3 日(水)、ちょうど一年前の 2022 年 5 月にオンライン認証技術標準化団体 FIDO Alliance や、Apple、Microsoft と共に発表していた、パスワード不要新規格「FIDO 認証(FIDO2)」を用いた新しいサインイン方式「パスキー(Passkey)」の、Google アカウントにおけるサポート開始を発表しました。 「パスキー」は昨年 2022 年 10 月よりベータ版として、Android と Chrome に提供開始済み。日本国内でも、NTT ドコモの共通 ID サービス「d アカウント」における新しいサインイン認証と
兵庫県尼崎市で発生した個人情報入りUSBメモリの紛失事件について、同市から業務委託を受けていたBIPROGY(本社:東京都江東区)は6月23日、「お預かりした大切な情報を紛失した」として謝罪した。 BIPROGY(旧:日本ユニシス)は警察とともに紛失したUSBメモリを捜索中。今後は「管理体制及び運用の徹底、見直し、改善並びに全役職員および委託先協力会社に対する教育、指導の再徹底を行う」としている。 同社の株価は23日午前10時30分ごろから下落。午後1時ごろには100円近く落ち込んで2682円になった。 日本ユニシスから4月1日に商号を変更した同社は、尼崎市から臨時特別給付事務を受託。臨時特別給付金コールセンターで行われたデータ移管作業の際に、担当者がUSBメモリを無断で持ち出し、作業後もデータを消さないまま飲食店で飲酒。帰宅後に紛失に気付いたという。 関連記事 尼崎市、全市民46万人分の
Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの - Money Forward Developers Blog
English version of this article is available here はじめに こんにちは、CTO室 IDサービス開発部のyamato(@8ma10s)です。 マネーフォワード IDという、当社サービス向けのIdPを開発しています。 今回このマネーフォワード IDにおいて、パスワードを使わずに、生体認証などを利用してログインできる「パスワードレスログイン」という機能をリリースしました。 また、今回のリリースでは、既にいくつかの他社サービスで導入されているような通常のパスワードレスログインUIではなく、「Passkey autofill」という、ブラウザの自動補完を利用する新しいタイプのパスワードレスログインUI を(恐らく日本のサービスで初めて。エンドユーザーの目に触れるサービスという意味では、おそらく世界でも初めて)導入しています。 私達がどういった過程で、
知られざる王小雲。米国の暗号学的ハッシュ関数MD5、SHA-1を過去に葬り去った女性研究者 - 中華IT最新事情
第4回未来科学大賞で多額の賞金が、数学者、王小雲に授与され、彼女の名前がにわかにメディアに注目をされた。王小雲は2004年に米国のハッシュ関数「MD5」の脆弱性を発見した研究者だったと資訊咖が報じた。 ネット社会に必須のハッシュ関数 デジタル時代、ハッシュ関数はさまざまなところで使われる。最もよく知られているのは、パスワードの保管や書類の改竄検知などだ。 ハッシュとは「混ぜこぜ」という意味で、元のデータを混ぜこぜにして、まったく別のデータに変換をしてしまうというものだ。例えば、「元の数値を2倍にして1を引く」という単純なアルゴリズムでもハッシュ関数に近いことができる。2であれば3になるし、7であれば13になる。元の数字とは異なったものになる。 しかし、これでは何かの役に立つことはできないため、暗号学者、数学者たちは、複雑なアルゴリズムを考案し、ハッシュ関数としてさまざまな応用をしてきた。こ
2019年7月24日、ヤマト運輸は同社のサービス「クロネコメンバーズ」のWebサービスに対し、不正ログインの被害があったことを発表しました。ここでは関連する情報をまとめます。 公式発表 2019年7月24日 クロネコメンバーズにおける不正ログインについて 被害の状況 不正ログイン件数 3,467件 不正ログイン試行件数 約3万件 不正ログイン試行期間 2019年7月22日夕方~24日朝 試行件数あたりの不正ログイン成功率 約10% サービス登録者数は約2800万人。 調査を通じてリスト型攻撃による不正ログイン被害と発表。 リスト型攻撃と判断したのは試行されたID、パスワードが同社のサービスで使用されていないものが多数含まれていたため。 ヤマト運輸は個人情報の悪用や金銭などの被害は確認していない。 不正ログインが確認された利用者へはメールにて連絡。パスワード変更を必要とする措置を実施。 20
パスワード使い回しや「Windows 7」使用、不正侵入を招いた水道システム管理の実情:この頃、セキュリティ界隈で(1/2 ページ) 米フロリダ州オールズマー市の浄水システムに何者かが不正侵入し、飲料水に含まれる水酸化ナトリウム(苛性ソーダ)量を100倍以上に増やす設定変更を行った事件。この時は管理者がすぐに気付いて対応したため実害は免れたものの、パスワードの使い回しや「Windows 7」の使用など、地方自治体の水道システムが抱える問題の一端が浮き彫りになった。こうした実態はたまたま明るみに出たにすぎず、氷山の一角だと専門家は指摘する。 オールズマー市の浄水システムが不正侵入されたのは2月5日。何者かがPC遠隔操作ソフトウェアの「TeamViewer」を介して2度にわたって浄水場の産業制御システム(SCADA)にアクセスを確立し、飲料水に混ぜる水酸化ナトリウムの量を、約100ppmから1
シンジです。Zoomを使ったビデオ会議が爆発的に増え、「Zoomする」という単語で通じてしまうくらいの一般化がされたところですが、企業で導入する場合は社内のユーザにどのように使ってもらおうか、どの様な設定を入れておくべきか悩む人も増えているようで、今回は各設定の説明も入れながら解説し、自分の組織ではどうすべきかを改めて考えてもらえればと思います。 対象はZoom Meetings Zoomには会議室専用だとかウェビナープランだとか、様々な用途を想定したアプリなどがありますが、今回は一般的にみなさんが利用されるZoom Meetingsについてのみ取り扱います。 管理者権限でログインしましょう ログイン後、左メニューに管理者の項目が増えます。ここから設定を行います。今回掲載しているスクショの設定は、実際に当社で設定しているそのままです。全項目を説明すると大変なので、ポイントだけピックアップし
LINEアカウントへの不正アクセスに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー
※今後も順次、二段階認証適用の対象範囲を拡大してまいります。 ※サービスのURLによってはLINEログイン画面に遷移する場合があります。 一部のお客様に対するパスワード初期化の実施 2020年7月から9月にかけて、不正ログインの試行から、現在までの期間においてパスワード変更が確認できなかった方を対象に、2020年9月12日12時33分より順次、LINE公式アカウントを通じパスワードのリセットと、それに伴うパスワード再設定をお願いするメッセージをお送りしました。 メッセージ送信については以下の通り複数段階に分けて実施しております。突然のご連絡となったことを対象者の方々にはお詫びいたします。 1.LINE公式アカウントを通じ「パスワードが変更されました。」というメッセージを送信。 2.LINE公式アカウントを通じ「【重要】ご利用中のLINEアカウントに不正ログインの試みが検知され、現在登録のパ
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
Heroku のデータベースには RDS を使ってよい(あるいはそれが嫌なら Heroku を使うべきではない)という話 - Diary
Heroku のデータベースには RDS を使ってよい(あるいはそれが嫌なら Heroku を使うべきではない)という話 Heroku を使うときに問題になるのは、データベースに何を使うかということです。 Heroku 標準の PostgreSQL Amazon RDS ClearDB (Heroku で MySQL を使えるアドオン) などが代表的な選択肢としてあります。ここで Heroku 公式が公開している RDS を使う方法についてのドキュメントを見ると、 RDS のインスタンスをインターネットに全公開して Heroku から接続せよと書かれています。 ネットワーク的な防壁がそろった環境が当然の現代においてこの方針はいかにも許容できないもののように思えます。しかし、ここで ClearDB と Heroku 標準の PostgreSQL について考えてみましょう。 まず ClearD
パスワード流出チェックサイト「Have I Been Pwned?」にMicrosoft Azureから突然高額の料金請求が、いったいなぜ?
セキュリティ研究家のトロイ・ハント氏が運営する「Have I Been Pwned?」は、さまざまなウェブサービスやデータベースに登録されたアカウントIDとパスワードが流出しているかどうかをチェックできるウェブサイトです。Have I Been Pwned?はAzure Blob Storageを利用しているとのことで、ある日突然Microsoftから高額の使用料を請求された件について、ハント氏がブログで解説しています。 Troy Hunt: How I Got Pwned by My Cloud Costs https://www.troyhunt.com/how-i-got-pwned-by-my-cloud-costs/ Microsoft Azureからハント氏宛に送られてきた2021年12月分の請求書が以下。Azure Blob Storageの使用料は4557.13オーストラリ
Appleが、パスワードを不要にする技術の標準化に取り組んでいるFIDO Allianceに参加したことが明らかになりました。 現在、Webなどでユーザー認証の仕組みとして一般的に使われているユーザーIDとパスワードの組み合わせは、パスワードの流出によるリスト型攻撃や、総当たり的な攻撃など、さまざまな手法によって不正なログインを引き起こす要因となっています。 この状況を改善するために、パスワードに依存した認証ではなく、指紋認証や顔認証やPINコードなどを基に生成した秘密鍵と公開鍵を用いた公開鍵暗号の仕組みによって、ユーザー認証を行う業界標準の策定や利用促進を行っているのがFIDO Allianceです。 FIDO Allianceが策定した標準仕様である「FIDO2」の中心的な構成要素であるWeb認証技術「Web Authentication」(WebAuthn)は、2019年3月にW3C
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Azure AD が提供するパスワードレスのユーザー体験
「はじめて学ぶ最新サイバーセキュリティ講義」の監訳を担当しました
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
「ハッキングされない」アナログなパスワード生成カード。Makuakeで先行販売
パスワードのない世界に向けて ~TechFeed Conference 2022講演より | gihyo.jp
iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉
ゼロトラストで、もっと便利に、もっと安全に | さくらのナレッジ
2019年10月16日 “脱帽です”―9億3,000万ハッシュ/秒でようやく判明したケン・トンプソンのパスワードは…? | gihyo.jp
Microsoft、パスワードの有効期限のベストプラクティスを見直し
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
7pay“パスワード変更を” 「覚えのない取り引き」相次ぐ | NHKニュース
新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
AWSボリュームの暗号化の必要性について - Qiita
特別定額給付金のオンライン申請で起きた問題についてまとめてみた - piyolog
いろんなウェブサービスにパスキーでログインしてみる
二要素認証(TOTP)のトークンをどこに保存するか問題 - @kyanny's blog
Googleアカウント「パスキー」導入!パスワードの終わりが始まる
尼崎市USBメモリ紛失事件でBIPROGYが謝罪 株価は一時100円近く下落
クロネコメンバーズの不正ログインについてまとめてみた - piyolog
パスワード使い回しや「Windows 7」使用、不正侵入を招いた水道システム管理の実情
Zoom管理者が行うべき全設定一覧 | ロードバランスすだちくん
Apple、パスワードを不要にするFIDO Allianceへの加盟が明らかに