iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
ログインアラートはパスワード定期的変更の代替となるか
パスワードの定期的的変更には実質的にはあまり意味がないのではないかという議論(疑問)から出発した議論を続けておりますが、こちらなどで表明しているように、パスワードの定期的変更が効果をもつ場合もあります。 そこで、本稿ではパスワードの定期的変更の代替手段としてログインアラートの運用に着目し、ログインアラートの運用がパスワードの定期的変更の代替となるのか、残る課題は何かについて検討します。 パスワード定期的変更の効果まとめ まず前提条件について説明します。ウェブサイトAの利用者xが自身のパスワード voc3at を定期的変更として変更する(voc3atはあくまで例です)場合、これが効果を発揮する条件と効果は、以下と考えられます。条件1と条件2はAND条件です。 条件1: パスワード voc3at が既に漏洩していて、今後悪用される可能性がある 条件2: パスワード漏洩に利用者 x は気づいてお
Facebook、盗まれたパスワードを発見してユーザーに通知
Facebookのシステムではインターネット上に掲載された情報を解析し、Facebookで使われているのと同じ電子メールアドレスとパスワードの組み合わせが見つかった場合はユーザーに通知する。 大手サイトやサービスからユーザーのパスワードなどの情報が流出する事件が相次いでいることに対応して、Facebookは10月18日、インターネット上に掲載された情報を解析し、ユーザーに通知するシステムを開発したと発表した。 相次ぐ情報流出事件では、ユーザーが同じパスワードを複数サイトで使い回していることが原因で、1つのサイトから盗まれたパスワードが別のWebサイトへの不正ログインに使われて、被害が広がることがある。 盗まれた情報はPastebinやGithub、闇サイトなどにまとめて掲載される場合が多い。Facebookのシステムではこうした悪質サイトを監視して、盗まれた情報が掲載されているのが見つかれ
パスワード定期的変更の効能について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
