IAMユーザーのMFA(多要素認証)は有効になっていますか?現状を確認→是正→適切な状態を維持するまでの流れを整理してみた | DevelopersIO
IAMユーザーのMFA(多要素認証)は有効になっていますか?現状を確認→是正→適切な状態を維持するまでの流れを整理してみた 中山(順)です AWSアカウントのIAMユーザーではMFA(多要素認証)を利用できますが、ちゃんと有効化していますか? AWSのコンソールにログインできるということは、そのユーザーに付与されている権限によってはシステムの構成やデータを閲覧・変更・削除ができたりします。 そのようなケースにおいて、ユーザー認証がパスワード(knowledge factor)だけでいいのでしょうか? AWSが示すIAM Best Practicesにおいても、特権ユーザーに対してはMFAを有効化することが推奨されています。 Enable MFA for Privileged Users この記事では、以下の流れでIAM Userの現状確認から適切な状態を維持するまでの流れを整理してみました
多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘:この頃、セキュリティ界隈で 認証情報の窃取やネットワークへの不正侵入といったサイバー攻撃が過去2年で急増しているにもかかわらず、多要素認証(MFA)やパスワードレス認証といった強力なID認証手段の普及がなかなか進まない状況にある──米Microsoftはこのほど発表した報告書で、そんな実態に警鐘を鳴らしている。 サイバー脅威に関するMicrosoftの四半期報告書によれば、同社のクラウドベースID管理サービス「Azure Active Directory(AD)」を使っている法人のうち、多要素認証やパスワードレス認証などの強力なID認証を実装していたのは、2021年12月の時点で22%にとどまった。 攻撃者はそうした隙を突き、フィッシング詐欺メールやパスワード総当たりのブルートフォース攻撃、ソーシャルエ
最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。 2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。 同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。 サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。 MFAは魔法ではない Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入
Introduction 在宅勤務の増加に伴い普及したVPN(仮想私設網)機器が国内でのサイバー防衛の「抜け穴」となっている。ランサムウエア(身代金要求型ウイルス)に侵入を許す原因の7割を占め、港湾や病院といった大規模攻撃の端緒にもあげられる。企業はどう対処すべきなのか。弁護士で、内閣サイバーセキュリティセンター(NISC)タスクフォース構成員などをつとめた山岡裕明氏が解説する。(聞き手はサイバーセキュリティーエディター 岩沢明信)
この記事は新野淳一氏のブログ「Publickey」に掲載された「AWS、マネジメントコンソールへのrootでのサインインに多要素認証を必須に。2024年半ばから」(2023年10月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米Amazon Web Services(AWS)は、セキュリティの強化の一環として、AWS Organizations管理アカウントのrootユーザーでマネジメントコンソールにサインインする場合、2024年半ばから多要素認証を必須にすることを明らかにしました。 下記はブログ「Secure by Design: AWS to enhance MFA requirements in 2024」からの引用です。 Beginning in mid-2024, customers signing in to the AWS Managemen
AWS SSOに待望の機能が実装されました!MFAアプリ(Authy, Google Authenticator等)を使用した多要素認証です! Increase AWS Single Sign-On security with multi-factor authentication using authenticator apps 今までも多要素認証に対応してはいましたが、メールを利用した多要素認証だったり、自前でRadiusサーバーを構築してActiveDirectoryと連携する方式が必要でした。 [AWS SSO]ログイン時に2段階認証を有効化する | DevelopersIO これがAWS SSOの機能として、MFAアプリを使用した多要素認証が提供されたので早速試してみたいと思います! AWS SSOを使ってみる(多要素認証無し) AWS SSOを使うと、こんな風に一つのユーザーで
MFAの導入はMicrosoftに限らず多くのセキュリティベンダーに推奨されており、セキュリティの観点からも非常に効果的な対策だ。だが、サイバー攻撃者もこれを突破するための新しい戦術を考案しており、その一つがMFA疲労攻撃だ。 Microsoftはこの攻撃に対応するために、Microsoft Authenticatorに「ナンバーマッチング」と呼ばれる機能を既に導入している。これはユーザーがログイン認証するタイミングでサインイン画面に表示される番号を入力しなければならないというもので、認証に一手間必要になることから、MFA疲労攻撃に有効とされている。 しかし同社によると、この機能は一定の成果は出ているもののMFA疲労攻撃による通知自体は減らせていないという。そのため今回の新機能では通知そのものを減らすことで、ユーザーの利便性を大幅に向上させる狙いがある。この機能を利用すれば、プッシュ通知は
eSecurity Planetは8月19日(米国時間)、「Hackers Steal Session Cookies to Bypass Multi-factor Authentication|eSecurityPlanet」において、サイバー犯罪者がCookieを窃取して、多要素認証(MFA: Multi-Factor Authentication)をバイパスする新たな攻撃手法が発見されたと伝えた。Webブラウザはユーザー認証の維持やパスワードの記憶などを可能としているが、攻撃者がこの機能を悪用してCookieや資格情報などを窃取すると説明されている。 ブラウザの裏側では、Cookieを含むデータベースファイルが使われている。Cookieはキーと値のペアで構成されており、値にはトークンや有効期限などの重要な情報が含まれているため、サイバー犯罪者の標的となっている。あらゆるオペレーティン
はてな、「はてなID」のログインを安全性の高い「パスキー」と「多要素認証」に対応 - プレスリリース - 株式会社はてな
株式会社はてな(代表取締役社長:栗栖義臣/本社所在地:京都市中京区)は、はてなの提供するサービスの利用時に必要な「はてなID」でのログインにおいて、パスワードレスの生体認証機能「パスキー」と多要素認証の「TOTP(Time-Based One-Time Password)」に対応しました。「はてなブログ」や「はてなブックマーク」などの個人向けサービスや、「はてなブログMedia」などの法人向けサービスをご利用のユーザーは、これらの認証を利用することにより、これまで以上に安全で便利なアカウント管理が可能になります。 ▽ 「はてなID」でご利用いただけるサービス例 記事やコメントの投稿に「はてなID」へのログインが必要なサービスには、以下のようなものがあります。 はてなブログ https://hatena.blog はてなブックマーク https://b.hatena.ne.jp 人力検索はて
2段階認証と2要素認証と多要素認証(MFA)の違い
知識情報による認証 パスワード、PIN、秘密の質問などのユーザーだけが知っている知識情報で認証する方法です。パスワードによる認証は比較的かんたんに導入できるが、デメリットもあります。パスワードを何度も試行されるようなブルートフォース攻撃やパスワードを盗み取るフィッシング攻撃などにより、不正に利用されるリスクを抱えています。また、複数のサイトで同じパスワードを使い回すことで被害を拡大するリスクもあります。このようにパスワードのみでの認証ではセキュリティ強度が担保できなくなっています。 所持情報による認証 社員証のようなICカード、物理デバイスのセキュリティキー、スマホなどのユーザーが持っている所持情報で認証する方法です。ICカードによる認証ではカード内の情報を読み取り認証を行う。セキュリティキーによる認証では、複数の認証形式(ワンタイムパスワード、FIDOなど)に対応した認証が可能です。スマ
南極でのSMS多要素認証に関する問題とは?
現代社会でオンライン生活を営むにあたって、携帯電話番号でのSMSを用いた多要素認証(MFA)は避けては通れません。携帯電話番号によるSMS以外でのMFAをサポートする企業もある一方、SMSでのMFAに固執している銀行も複数あります。しかし、アメリカの南極基地であるマクマード基地にはどのキャリアの電波塔もなく、SMSを用いたMFAを行うことができないのが現状です。そこで、マクマード基地でITプロジェクトに従事しているbrr氏がこの問題について解説しています。 SMS Multifactor Authentication in Antarctica https://brr.fyi/posts/sms-mfa 南極で活動する上での問題に関する公式ガイダンスには、「活動する前にSMSによるMFAを無効にする」と記載があるものの、MFAを容易に無効にできず、電話番号が必要となるサービスは常にいくつか
7payが世の中を騒がせて、2段階認証という言葉がホットワードとなったりしてますね。こうした決済サービスのセキュリティを守るには「多要素認証」(Multi-Factor Authentication)が大切です。……ところで多要素認証ってなんでしたっけ? Twitter投票でクイズを出してみたところ……?
AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました
AWS Identity and Access Management (IAM) は、サポートされているすべてのブラウザ全体で、強力でフィッシングに強い認証のための Web Authentication (WebAuthn) 標準をサポートするようになりました。WebAuthn は、FIDO U2FAPI を継承する FIDO2 仕様の一部であり、パブリックキー暗号化に基づくセキュリティキーを用いた安全な多要素認証が可能です。 この機能は、既存の多要素認証 (MFA) 機能を拡張し、最新のインターネットブラウザや FIDO に準拠した認証機能との互換性を確保するものです。Mozilla、Opera、Firefox、Chrome などの主要ブラウザに加え、Safari ブラウザも認証とセキュリティキーの登録に対応しました。FIDO U2F セキュリティキーなど、すでに FIDO 準拠の認証機
はじめに IAMユーザを利用者へ引き渡す際に「絶対に多要素認証(MFA)の設定を入れてくださいね!!」と伝えても、 そのユーザが本当にMFAを有効化してくれたのか、その確認や催促に手間がかかるときがあります。 そんな手間を省くため、引き渡すIAMユーザには予め MFAを利用していないと権限に制限がかかる仕組みを仕込んでおくことができます。 概要 IAMユーザに以下の権限を付与すれば完了です。 (1) MFAを設定・有効化するための権限 (2) MFAを利用していない場合、(1)以外すべてのアクションを拒否する権限 (3) 本来許可したい権限 (2)の設定では、IAMポリシーのContdition要素を使ってMFA利用有無による条件分岐を設定します。 (3)で許可された権限であっても、 MFAを利用していない場合は(2)による明示的な拒否設定が上回り、利用することができなくなる仕組みです。
この記事は新野淳一氏のブログ「Publickey」に掲載された「AWS IAMがWebAuthnに対応。多要素認証の要素として利用可能に」(2022年6月8日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米AWS(Amazon Web Services)は、「AWS IAM」(AWS Identity and Access Management)が「WebAuthn」に対応したことを発表しました。 AWS IAMは以前から多要素認証に対応しており、今回この多要素認証の要素の1つとしてWebAuthnが使えるようになりました。つまりパスワードを入力した上で、追加の認証を行う多要素認証にWebAuthnが加わったことになります。 WebAuthnは、パスワードレス技術の標準化団体であるFIDO Alliance(ファイドアライアンス)が策定したFIDO2仕様の構成要
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。 認証は、以下3つのタイプの要素があります: 要 素 認証方式の例 記 憶 パスワード認証/暗証番号(PINコード)等 所 持 端末認証/ICカード認証 等 属 性 生体認証(指紋認証/顔認証 等) 多要素認証は、1つだけの認証より、セキュリティを高めることができます。例えば、パスワードを知っているだけではアクセスできないよう、さらにスマートフォンで生成されたワンタイムパスコードを要求するなどです。 これにより、不正アクセスを困難にし、セキュリティを強化することができます。 2要素認証に該当するものはどれか。 ア 2本の指の指紋で認証する。 イ 虹彩とパスワードで認証する。 ウ 異なる2種類の特殊文字を混ぜたパスワードで認証する。 エ 異なる2つのパスワードで認証する。 ~「基本
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか:ITmedia Security Week 2024 冬 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。
ネットバンキングや電子商取引(EC)サイト、メールサービスへの不正ログイン被害が増加の一途をたどっている。警察庁が2019年12月、ネットバンキングの不正送金被害が過去最多を更新したと発表した。 不正ログインの攻撃手法としてよく知られるのが「リスト型攻撃」だ。攻撃者が別のサービスから流出したIDとパスワードを使って、不正ログインを試みる攻撃。ユーザーが同じIDとパスワードを使い回していると不正ログインされてしまう。 これに対抗するため、IDとパスワードの組み合わせに加えて、スマートフォンにSMSで送る認証コードや、スマホアプリやトークンを使ったワンタイムパスワード(OTP)を認証に利用するサービスが増えている。 ところが、そうした多要素認証を突破する不正ログイン被害が発生した。2019年12月以降、NTTデータやトレンドマイクロがフィッシングによって認証コードやOTPを詐取されると注意を呼
ChatGPTによる「多要素認証」をテーマとした物語 ジェイクは大手ソフトウェア企業のセキュリティエンジニアで、彼の仕事は会社のデータを守ることでした。 最近、サイバー攻撃が増加しており、ジェイクは新しいセキュリティプロトコルを導入することを提案しました。 その新しいプロトコルは「多要素認証(MFA)」で、パスワードだけでなく追加の認証要素が必要です。ジェイクはMFAの導入に熱心で、会社の経営陣を覚悟しました。 導入後、社内の従業員は初めは違和感を思い出しました。毎回、アプリで生成されるセキュリティコードを入力する手間がかかりましたが、ジェイクはセキュリティの重要性を強調し、みんなが安心してサポートまでしました。 やがて、ジェイクは不審な活動を検出しました。誰かが社内システムに侵入しようとしていました。パスワードは既知のものでしたが、MFAが攻撃者を阻止しました。ジェイクとセキュリティチー
はじめに こんにちは、エンジニアのogadyです。 うちの会社では、IAMユーザーのMFAをマストとしています。そうすると、AWS CLIからMFAする手順がめんどくさい。 aws cliからMFA認証通す時って、クソめんどい。皆さんどうやってるんだろう。そもそもcli用ユーザー作ってmfa無効にするのが正解なのか? — ogady@アニオタエンジニア (@gadyma) October 11, 2019 公式の手順はこれ AWS CLI 経由で MFA を使用してアクセスを認証する 自分で作ろうかとも思ったのですが、良さげなツールを見つけたので試してみました。 aws-mfa を使えば、簡単に期限付きのAWSアクセスキーを発行して、AWS CLIからリソースにアクセスできます。 こんな人向け AWS CLIのMFAを毎回公式の方法でやっている MFA使うべきなのはわかってるけど運用がめん
セキュリティ研究者でありMicrosoft技術に詳しいJeffrey Appel氏は2022年8月8日(現地時間)、自身のWebサイトのブログ記事において、二要素認証(2FA: Two-Factor Authentication)を含む多要素認証(MFA: Multi-Factor Authentication)を回避するサイバーセキュリティ攻撃「AiTM(Adversary-in-The-Middle)フィッシング攻撃」が今後長期にわたって継続する可能性があると伝えた。 多要素認証や二要素認証はセキュリティを強化する方法として強く推奨されることが多い。今後こうした状況が続けば、多要素認証や二要素認証を使っているからといって、これまでのように安心してはいられないといった状況が当たり前になる可能性がある。
AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました
今まで出来なかったとすると、革命的に便利になる気がする>< それともAADとかCloud Identityでセキュリティキー使えてる系とは違う話なのかな?
ICTイノベーション推進室アドバンストグループの谷口です。 いわゆる情シスでラック社内のセキュリティ強化を行っています。ゼロトラストアーキテクチャをベースに自組織に合わせて実装・運用していますが、取り巻く環境の変化も早く、意図した通りに動作しないソリューションもあり、試行錯誤の連続です。実際に運用をして効果的と判断した対策を中心に情報発信していきたいと考えています。 今回は、フィッシングサイトで多要素認証(MFA:Multi-Factor Authentication)が突破されてしまった後の対策について解説します。 フィッシングサイトが正規サイトの中継役になる フィッシング攻撃は正規のID・パスワードを窃取する手法の一つです。対策としてMFAがありますが、利用者を騙してMFAの承認をさせる攻撃が観測されています。そのような攻撃は、フィッシングサイトがプロキシサーバ(中継サーバ)として動作
こんにちは、Azure & Identity サポート チームの栗井です。 今回は、Azure AD におけるユーザーの多要素認証 (MFA:Multi-Factor Authentication) のリセット手順についてご紹介します。 Azure AD では、ログイン時の追加認証方式として電話・アプリ (Microsoft Authenticator) などを使った多要素認証 (MFA) を利用することができ、パスワードのセルフサービス リセット時にも同認証方式を利用させることが可能です。MFA の設定を有効にしている場合、Azure AD にログインをするためには認証方法に指定したスマートフォンなどを利用できる必要がありますが、スマートフォンを紛失してしまった場合や電話番号が無効になった場合などには、MFA で設定していた認証を利用できない状況となり、ユーザー認証を完了することができず
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。 サイバー攻撃に対してパスワードはあまりにも守りが弱い。そのため、パスワードに加えて何らかの要素を追加して防御する多要素認証(MFA)が広く使われている。 だが多要素認証を導入すれば鉄壁の守りが手に入ると考えてはいけない。攻撃者がどのような手口で多要素認証を突破するのか、攻撃を防ぐにはどうすればよいのかを紹介する。 多要素認証をどうやって突破するのか Keeper Securityのティム・トラン氏は多要素認証の弱点と、弱点をカバーする方法を次のようにまとめた。 多要素認証を有効にすると、オンラインアカウントの保護がより強力になる。パスワードだけを使うよりも良い方法だ。だが、一部の多要素認証はサイバー攻撃に対し
多要素認証を回避する4つの手法--サイバーアークが解説
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます CyberArk Softwareは、サイバー攻撃に関するメディア向けの説明会を開催し、同社のレッドチームが対処した実際の攻撃を基に分析した多要素認証を回避する4つの手法を解説した。 同社のレッドチームは、サイバー攻撃で実際に使われる手法を参考に、顧客企業のシステムに擬似的な攻撃を実施して、システムのセキュリティ上の問題や不備などを検証するサービスを担当しているという。解説を行ったRed Team Services バイスプレジデントのShay Nahari氏は、多要素認証がユーザーの認証情報を保護する上で優れた方法だとしつつ、攻撃者が認証情報を窃取すべく多要素認証を回避する方法を編み出していると述べた。 攻撃者は、多要素認証を回避する
多要素認証でもよくつかわれるSMSって実はセキュリティ高いんだよ TCPIPじゃないから いわばインターネットとは別の閉域網の専用線みたいなもんだ
セキュリティ強度が最も高い業界標準FIDO2に対応した、Okta Customer Identity Cloud (Auth0)による多要素認証 | TC3株式会社|GIG INNOVATED.
セキュリティ強度が最も高い業界標準FIDO2に対応した、Okta Customer Identity Cloud (Auth0)による多要素認証 FIDO2とは 「FIDO2 とは」で検索するとたくさんの情報があるので、細かいことはこのブログでは紹介しませんが、FIDO2とは、WebAuthn(Web Authentication 略)というW3CとFIDOが定義する規格の総称です。WebAuthnはセキュリティが最大限担保されたものとされています。 この技術により、ユーザーのパスワードを管理することなく、ユーザー側がもつ端末などに格納される秘密鍵が認証に使われます。ユーザーは生体認証機能をもった端末やYubiKeyなどの外部端末を利用することが可能で、最もセキュリティ強度の高い手法と言われています。 最近公開されたAuth0のブログ「Not All MFA Is Created Equa
米国土安全保障省傘下のサイバーセキュリティー専門機関(CISA)は1月中旬、クラウドサービスを狙ったサイバー攻撃が相次いでいるとして注意を呼びかけた。多要素認証を破られたケースもあったという。セキュリティーの専門家は、「クラウドだから安全」と考えて適切な設定や運用を実施していない利用者が多いのが一因と指摘。安全性を高めるツールなどを用意しても利用者が使ってくれないとして、クラウド事業者も苦慮し
顔認証システム「eKYC」の普及が進む中、不正に顔認証を突破されるリスクへの対策が急務になっている。eKYCに他の認証方法を組み合わせたり、AIを使って偽動画を見破ったりする仕組みの構築が進んでいる。 自治体や金融機関で幅広く使われている、オンライン上の顔認証システム「eKYC」の普及が進む中、不正に顔認証を突破されるリスクへの対策が急務になっている。AIを使って偽動画を作る「ディープフェイク」で、本人に成り済まされる恐れもあるといい、eKYCに他の認証方法を組み合わせたり、AIを使って偽動画を見破ったりする仕組みの構築が進んでいる。 eKYCはスマートフォンを使って運転免許証などの顔写真付きの本人確認書類と一緒に、顔の動画や写真を撮影する仕組み。一致すれば同一人物として認証される。非対面ですぐに本人確認できることから、国内では平成31年4月に電子決済サービス「メルペイ」が導入、金融機関で
関連キーワード サイバー攻撃 | ハッキング | セキュリティ セキュリティベンダーのMitiga Securityは、「Microsoft 365」を狙ったビジネスメール詐欺(BEC)の事件を調査した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品/サービス群だ。 攻撃者はMicrosoft 365の多要素認証(MFA)を回避してアカウントに不正にログインし、標的となった組織の従業員に送金させようとした。問題はMicrosoft 365の脆弱(ぜいじゃく)性ではないとMitiga Securityは説明する。どういうことなのか。 攻撃者はなぜMFAを回避できたのか 併せて読みたいお薦め記事 連載:Microsoft 365への攻撃で検証する「MFA」の安全性 前編:Microsoft 365の「MFA」(
ALB + EC2の構成に、Amazon CognitoのHosted UIを利用し、多要素認証(MFA)を実装してみた | DevelopersIO
ALB + EC2の構成に、Amazon CognitoのHosted UIを利用し、多要素認証(MFA)を実装してみた はじめに ALB + EC2の構成に、CognitoのHosted UIで認証する構築方法を紹介するサイトは、いくつかありましたが、CognitoのマネジメントコンソールのUIが変わっていたため、2023年度版としてブログにします。 構成図は以下の通りです Cognitoについては、下記の記事を参考ください 前提条件 ALB + EC2の構成、かつ、HTTPS化を構築済み Cognitoのユーザー認証は、HTTPSリスナーでのみサポートされているため、HTTPS化は必須です できていない場合、下記を参照してください サインインに関する要件 今回設定する要件の内容を紹介します。 サインインに使用する属性は、以下の2つです ユーザー名 メールアドレス MFAは必須 Goog
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた | DevelopersIO
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた Jumpアカウント環境でもAWS SDKを使って操作したかったので、AWS SDK for JavaScript でスクリプト(TypeScript)を書いてみました。 AWS SDK for JavaScriptで簡単に「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したい こんにちは、のんピ です。 皆さんはAWS SDK for JavaScriptで以下のように「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したいと思ったことはありますか? 私はあります。 AWS CLIの場合は、以下記事で紹介している通り、~/.aws/configを設定すれば簡単にスイッチロールして操作ができます。 しかし、それで
関連キーワード サイバー攻撃 | ハッキング | セキュリティ サイバー犯罪者が重要な取引情報を盗み出す目的で、「Microsoft 365」に入り込むための手法を発見した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品/サービス群だ。 セキュリティベンダーのMitiga Securityは2022年8月24日(米国時間)、あるビジネスメール詐欺(BEC)事件の調査結果を同社の公式ブログで公開した。この事件では、攻撃者は標的企業の経営幹部のMicrosoft 365アカウントを不正に利用し、その経営幹部を装って従業員に数百万ドルを送金させようとしたという。Mitiga Securityはこの事件を受け、Microsoft 365の多要素認証(MFA)機能のセキュリティ設計に疑問を呈している。 Microso
皆さんこんにちは。Azure & Identity サポート チームの高田です。 本日は Azure AD Connect を利用しオンプレミス AD から Azure AD にユーザーを同期しているお客様において影響が生じる可能性のある多要素認証の動作変更についてお知らせいたします。この内容は、Azure Active Directory Identity Blog で公開されたものであり、本記事ではその内容についてより分かりやすく解説いたします。 影響を受ける可能性のあるお客様本記事で解説する内容で影響を受ける可能性があるのは、以下のすべての点に該当するお客様です。 オンプレミス AD 上のユーザー属性に多要素認証用の電話番号を設定している。 Azure AD Connect などのアカウント同期ソリューションを利用してオンプレミス AD から Azure AD にユーザーを同期してい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘
多要素認証が効かない「Pass-the-cookie攻撃」の仕組み
ランサムウェア侵入、「VPN」が7割 多要素認証で被害抑制を - 日本経済新聞
CISAが事業者に要求する「セキュリティ・バイ・デザイン」、多要素認証の必須化やメモリセーフなプログラミング言語への切り替えなどを推奨【海外セキュリティ】
AWS、マネジメントコンソールへのrootでのサインインは多要素認証が必須に 2024年半ばから
AWS SSOがMFAアプリを使用した多要素認証に対応しました! | DevelopersIO
Microsoft Authenticator 新機能で多要素認証疲労攻撃に対処
多要素認証をバイパスする新しい攻撃、CookieをダークWebで売買
NRIセキュア、多要素認証デバイス「YubiKey」の取り扱いと導入支援サービスを開始
「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件 (3ページ目)
多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | DevelopersIO
AWS IAMが「WebAuthn」に対応 多要素認証の要素として利用可能に
セキュリティを強化する多要素認証の魅力とは? #セキュリティ #多要素認証 - 叡智の三猿
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
【海外ITトピックス】 多要素認証破る「MFA Bombing」攻撃 Uberなどにセキュリティ侵害
多要素認証すら破る、威力が増すフィッシング技術に「チート」が有効な理由
セキュリティエンジニア ジェイクが提案する「多要素認証」の導入と従業員の対応 - 叡智の三猿
AWS CLIからのMFA(多要素認証)を楽にするツール(aws-mfa)を使ってみた - Qiita
もう安心できない? 多要素認証や二要素認証を回避する「AiTMフィッシング攻撃」が流行する可能性
多要素認証(MFA)だけでは守れないフィッシング攻撃の対策 | LAC WATCH
第12回:Azure ADの多要素認証を活用してセキュリティを強化【Microsoft 365徹底解説】
多要素認証 (MFA) のリセット手順 2022 年版
多要素認証でもよくつかわれるSMSって実はセキュリティ高いんだよ TCPIPじゃ..
「クラウドは安全」という誤解 多要素認証破る攻撃 - 日本経済新聞
シスコが“ゼロトラスト”セキュリティ戦略を発表 適応型多要素認証「Duo Security」を3月より提供へ
顔認証普及の裏で進むディープフェイク対策 AI、多要素認証……
Microsoft 365のMFA(多要素認証)が破られた原因は脆弱性ではなかった?
Microsoft 365の「MFA」(多要素認証)が破られる その巧妙な手口とは?
Azure AD Connect をご利用のお客様に対して予定されている多要素認証に関する変更