中国系ハッカー集団によるサイバー攻撃を受け:
「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
米CISAは「Mobile Communications Best Practice Guidance」を公開した。米国の商用通信インフラに対する中国政府系ハッカー集団のサイバースパイ活動が確認されたことに対応して作成されたものだ。(2024/12/26)
「CXF」と「CXP」が登場
パスワードに代わる「パスキー」を安全に交換する新仕様とは
FIDO Allianceは「パスキー」の普及を促すためにセキュリティの新しい仕様を発表した。これによりユーザーが享受できるメリットと、知っておいた方がよい注意点とは。(2024/11/26)
日本ではプレビュー貸し出しあり:
クラウドPCデバイス「Windows 365 Link」が2025年4月以降に登場 Microsoft純正のシンクライアント
Microsoftが、Windows 365に特化したクラウドPCデバイスを発売する。日本を含む一部の国/地域では、レンタルによるプレビューも行われる。(2024/11/20)
2025年春に対象ユーザーを拡大
AWSが多要素認証を“じわじわ必須化” その成果はいかほど?
AWSは2024年5月から一部のエンドユーザーを対象に、多要素認証(MFA)を必須化した。その成果を踏まえ、さらに対象範囲を拡大する計画だ。(2024/11/19)
2025年中に全ユーザー必須に
Google Cloudが多要素認証を必須に その計画が“称賛”される理由
Googleは2025年中にGoogle Cloudの多要素認証(MFA)を必須にする計画だ。この方針は、サイバーセキュリティの業界関係者から好意的に受け止められた。どのような点が好評を得ているのか。(2024/11/13)
セキュリティニュースアラート:
Okta AD/LDAP DelAuthに脆弱性 悪用を可能とする6つの条件とは?
OktaはAD/LDAP DelAuthの認証キャッシュキー生成に脆弱性があると公表した。特定条件下で以前のキャッシュが再利用される可能性があるという。(2024/11/6)
もうパスワードは使わない:
PR:パスキーをラクラク実装できる新サービスとは セキュリティ対策と利便性を両立
従来は当たり前だったパスワード認証だが、現在はセキュリティ対策や利便性の観点から課題も多い。そこで新しい認証方式「パスキー」が注目を集めている。パスキーのメリット、新サービスの狙いとは。(2024/11/19)
Tech Basics/Keyword:
最近よく聞く「パスキー」の仕組みと設定方法
最近、Webサイトのログイン方法として、「パスキー」という名前をよく聞かないだろうか。GoogleアカウントやMicrosoftアカウントが既に対応しており、PINや顔認証などでWebサイトへのログインが可能になるという。このパスキーの仕組みや設定方法などについて解説しよう。(2024/10/21)
Cybersecurity Dive:
多要素認証を回避する高度なフィッシングに要注意 その悪質な手法とは?
フィッシングキャンペーンの長期にわたる有効性と成功は、サイバーセキュリティにおける最も根本的な課題である。それは、セキュリティを構成する要素として最も脆弱なのは人間だということを示している。(2024/10/15)
週末の「気になるニュース」一気読み!:
Windowsの「パスキー」について発表 利便性が向上/Wordで保存後にファイルが削除される不具合発生
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、10月6日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/10/13)
セキュリティニュースアラート:
YubiKey 5に重大な脆弱性 新バージョンのデバイス購入が必要
NinjaLabはYubiKeyに重大な弱性があることを公表した。この脆弱性は、内蔵されているInfineon Technologiesのセキュアエレメント内の暗号化ライブラリーの実装問題に起因している。(2024/9/6)
半径300メートルのIT:
「基本対策だけでは心配」な方に ちょっと発展的な“プラスセキュリティ”のススメ
サイバー攻撃が激化する昨今、企業はもちろん、個人でもセキュリティ対策を講じる必要があります。今回は「基本的な対策だけでは心配」という方に向けて筆者が実践している“ちょっと発展的な対策”を紹介します。(2024/7/2)
半径300メートルのIT:
パスワードの定期変更は“しない方がいい”? 今求められる2つの対策
セキュリティ対策を語る上でパスワードに関する議論は避けては通れません。最近は、これまで常識だと思っていたパスワード対策が実は推奨されていないこともあります。知識をアップデートし、現状に即した“本当に有効な対策”を考えましょう。(2024/6/11)
セキュリティニュースアラート:
FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証
Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。(2024/5/10)
生成AIで変わる攻撃と対策【後編】
パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ
人工知能(AI)技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。(2024/4/26)
生成AIで変わる攻撃と対策【前編】
「攻撃専用GPT」が生成する“見破れない詐欺メール” その恐ろし過ぎる現実
人工知能(AI)技術の利用によってフィッシング攻撃が成功しやすくなっているとセキュリティ専門家は警鐘を鳴らす。AI技術を使った攻撃と従来の攻撃との違いや、攻撃者がどのようなツールを使っているのかを探る。(2024/4/19)
ITmedia Security Week 2024 冬:
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。(2024/4/12)
eBPF、WASM、AIと電力、Gateway API、Keycloak……:
Cloud Native Community Japanキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献
Cloud Native Computing Foundationの公式な日本チャプターとして活動するCloud Native Community Japan。そのキックオフミートアップで語られたクラウドネイティブの現在と日本の貢献とは。(2024/3/14)
STとtrinamiX、Visionoxが協力:
スマホ向けディスプレイに埋め込む顔認証システムを開発
STマイクロエレクトロニクスとtrinamiXおよび、Visionoxは、スマートフォン向け有機ELディスプレイに組み込み可能な「顔認証システム」を発表した。(2024/3/5)
スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?
今後、Webサービスから「パスワード」がなくなるかもしれない。今後は「パスキー」に取って代わるかもしれないというのが今回の話題だ。(2024/3/7)
特選プレミアムコンテンツガイド
パスワードレス認証「FIDO2」とは Apple、Google、Microsoftが推す技術の実態
Apple、Google、Microsoftは、パスワードレス認証技術「FIDO2」の普及に本腰を入れつつある。FIDO2は何を可能にするのか。3社が進める普及促進策の内容と共に紹介する。(2024/3/4)
Macを安全に使うには【第5回】
Macを守る「セキュリティキー」とは? “Appleだから安全”とは限らない
AppleはMacを攻撃から保護するためにソフトウェア面でさまざまな工夫を凝らしているが、それだけではない。物理的なセキュリティキーを用いたMacの守り方と、その注意点とは。(2024/2/23)
ITmedia Security Week 2023 冬:
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。(2024/2/21)
パスワードレス認証でセキュリティ向上【後編】
“パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地
セキュリティの新たな手段として「パスワードレス認証」が注目を集めつつある。これから注視したいのは、どのように広く普及するのかだ。現状はどのような状況なのか。専門家に聞いた。(2024/2/19)
Macを安全に使うには【第4回】
パスワードが要らない認証「パスキー」でMacを守るには?
パスワード要らずの認証方法として「パスキー」(Passkey)の利用が広がりつつある。Macの安全利用のためにもパスキーは有効なツールだ。どのような仕組みなのか。(2024/2/16)
パスワードレス認証でセキュリティ向上【中編】
パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?
IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。(2024/2/12)
パスワードレス認証でセキュリティ向上【前編】
「パスワードレス認証とは」の前に考える、企業のセキュリティが甘過ぎた実態
セキュリティを強化するための手段として、パスワードの代わりに顔や指紋を使って認証をする「パスワードレス認証」が注目を集め始めた。企業はなぜIDのセキュリティの対策を見直すべきなのか。専門家に聞いた。(2024/2/5)
フィッシング攻撃に強いMFA【後編】
「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う?
全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。(2024/2/1)
メルカリ、全てのログインに生体認証を導入
メルカリは29日、「メルカリ」へのログイン時に生体認証を導入したと発表した。例えばiPhoneなら指紋認証のTouch ID、顔認証のFace IDが利用できる。(2024/1/29)
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceが現状を説明。既に70億を超えるオンラインアカウントがパスキー利用できる。パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。(2023/12/9)
Innovative Tech:
小学校の「端末パスワード問題」どう考える? 児童が被害/加害者になる可能性も 指紋認証は代替え案になるか
広島市立大学大学院情報科学研究科に所属する研究者らは、小学校で普及している端末のパスワード問題を取り上げ、代替案として学校向けのパスワードを用いない指紋ベースのFIDO認証適用の可能生と課題について調査した研究報告を発表した。(2023/12/8)
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(前編)
ヨドバシAPIがどのように設計され、開発、実装されていくのか。ヨドバシの”中の人”が解説した。(2023/12/6)
Googleの物理セキュリティキー「Titan」、「パスキー」保存可能に
Googleは、物理セキュリティキー「Titan」シリーズの新モデルで「パスキー」を保存できるようにしたと発表した。また、FIDO2対応で最大250件のアカウント情報を保存できる。(2023/11/16)
Windows 10/11(バージョン22H2)に2023年10月分の累積更新(プレビュー)登場 Windows 11では「Copilot」「パスキー」など新機能満載
Windows 10/11(バージョン22H2)に対して、月例更新のプレビュー版が登場した。Windows 10は機能改善や不具合解消が中心なのに対して、Windows 11では多くの新機能が実装されている。(2023/10/27)
Amazon、WebとiOSで「パスキー(passkey)」サポート Androidも間もなく
Amazonは、WebとiOSのショッピングアプリで「パスキー(passkey)」でのログインを可能にした。Android版でも間もなく対応する計画だ。(2023/10/24)
Cybersecurity Dive:
「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い?
パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。(2023/10/22)
IDおよびアクセス管理の手引き【前編】
パスワードレス化も当然に? これからの「IDおよびアクセス管理」(IAM)
IDを狙う攻撃が激化するにつれ、企業のIAMツールに対する期待が高まっている。実用的なIAMツールが備えるべき機能とはどのようなものか。(2023/10/18)
Google、「パスキー」を個人ユーザーのデフォルトに
Googleは、パスワード不要のサインイン「パスキー」を、Googleアカウントのデフォルト(初期設定)にすると発表した。アカウントにサインインしようとすると、パスキー作成を求めるプロンプトが表示されるようになる。(2023/10/11)
Inside-Out:
「スマートフォンの画面で承認してください」を実現するクロスデバイスフローの仕組み
オンラインバンクなど、インターネット上のサービスを利用する際、スマートフォンを使った認証や認可の手続きを設定するように求められることはないでしょうか。本記事では、近年、注目を集めている、スマートフォンを活用したクロスデバイスフロー(Cross-Device Flow)と呼ばれる認証・認可方式について解説します。(2023/9/28)
スマホがなくても多要素認証は実現できる:
PR:ゼロトラストセキュリティの第一歩 多要素認証を手軽に導入する秘訣
ランサムウェアをはじめとしたサイバー攻撃に備えてゼロトラストセキュリティを構築することは企業の喫緊の課題であり、その第一歩とも言えるのが多要素認証だ。これを手軽に導入するにはどうすればいいか。(2023/9/12)
ITmedia Security Week 2023 秋:
侵入ぐらいは“かすり傷”――クラウド/SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか
2023年8月に開催された「ITmedia Security Week 2023 秋」において、サイバーセキュリティの専門会社トライコーダの現役ペネトレーションテスター、上野宣氏が「クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか」と題して講演した。(2023/9/13)
セキュリティニュースアラート:
管理者権限を持つOktaユーザーを狙うサイバー攻撃が見つかる 推奨される予防策は?
Oktaは管理者権限を持つユーザーを標的にしたソーシャルエンジニアリング攻撃を確認した。脅威アクターはOktaの顧客テナントで高い権限を持っており、MFAのリセットを要求できる。(2023/9/5)
デバイスとネットワークのセキュリティレベルをどう維持する?:
PR:狙われるモバイル端末 「企業の情報をどう守るか」へのシンプルな答えはあるのか
企業を狙った攻撃から情報を守るのにモバイル端末の保護は欠かせないが、その対応は複雑で複数のソリューションが必要になることもある。さらに今後IoT(モノのインターネット)端末にまで目を光らせる必要が出てくるとセキュリティレベルの維持は一層困難になる。この状況をシンプルに解決する方法を有識者に聞いた。(2023/9/6)
オープンソースのセキュリティキーファームウェア「OpenSK」の一部として公開:
Google、量子耐性を持つ「FIDO2セキュリティキー」の実装を発表
Googleは、オープンソースのセキュリティキーファームウェア「OpenSK」の一部として、耐量子FIDO2セキュリティキーの実装をリリースしたと発表した。(2023/8/21)
76万人に影響か Discord.ioのユーザーデータが漏えい
Discordサーバでカスタム招待を作成できるサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。(2023/8/18)
量子攻撃に備えよ Googleが量子耐性を持つFIDO2セキュリティキーを公開
Googleはセキュリティキーファームウェア「OpenSK」の一部として、量子耐性FIDO2セキュリティキーの新しい実装を公開した。このハイブリッド署名スキーマは従来のサイバー攻撃と量子コンピュータによるサイバー攻撃への耐性を兼ね備えている。(2023/8/17)
Google「パスワードレス認証」に本腰【後編】
“パスキー激推し“のGoogleが「脱パスワード」に前のめりの理由はこれだ
「パスキー」(Passkey)の活用により、パスワードによる認証を段階的になくそうとするGoogle。同社はなぜ「脱パスワード」を推し進めるのか。パスワードレス認証の普及に対する、セキュリティ専門家の見方は。(2023/8/16)
150万人がクラウドアカウント乗っ取り被害 MFAをバイパスするEvilProxyとは?
Proofpointによるとこの6カ月で大手企業のクラウドアカウント乗っ取り事件が100%以上急増して150万人が被害を受けたという。MFAがバイパスされるケースが増えており、その対策として幾つかの案が提案されている。(2023/8/11)
多要素認証の実装、インシデント対応計画の策定など:
サイバーセキュリティを向上させるための4つのアクションとは? CISAが解説
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、組織がサイバーセキュリティ強化のために実践できる取り組みを4つ紹介した。(2023/8/9)
「言葉」から「鍵」へ、パスワードに依存しない世界:
AppleやGoogleが対応を進める「パスキー」とは? FIDOアライアンスが仕組みを解説
AppleやGoogleも一気に対応を進めつつある「パスキー」。具体的にどのような仕組みなのか? パスワードレスの技術として広まってきた従来のFIDO認証とは何が違うのか? Interop Tokyo 2023でFIDOアライアンスの土屋敦裕氏が解説した。(2023/8/7)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。