パスワードレス認証でフィッシング被害にも効果あり! パスキーを展開する「FIDOアライアンス」の現況とこれから
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
Steamでゲームのアップデートにマルウェアが仕込まれる事態が発生、対策のためSMS認証を必須にするとSteamが発表
Steamの自動アップデート機能が悪用され、開発者のアカウントを通じて悪意あるソフトウェアが混入したゲームが少数のユーザーに配信されていたことがわかりました。再発防止のため、Steamを運営するValveは開発者らにSMS認証を義務づけると発表しています。 Steam :: Steamworks Development :: 近日公開:ビルドおよびSteamworksユーザーの管理におけるセキュリティ強化 https://steamcommunity.com/groups/steamworks/announcements/detail/3749866608167579206 Valve adds new security check after attackers compromise Steam accounts of multiple game devs and update thei
MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間1月31日、「マイクロソフトクラウドパートナープログラム」(MCCP、旧称MPN)の不正なアカウントを用いたフィッシングキャンペーンについてMicrosoft Security Response Center(MSRC)で警鐘を鳴らした。このフィッシング攻撃は、偽のアプリによって標的をだまし、電子メールアカウントにアクセスするための権限を付与させるものだという。 サイバーセキュリティ企業Proofpointによると、攻撃者らは不正に取得したMCCPアカウントを用いて、「Single Sign On」(SSO)や「Meeting」といった、一見まともな名前を有し、「Zoom」の古いアイコンや、Zoomに似たUR
海外で続いて施行、年齢認証義務付け法。個人情報漏えいの危険性も
海外で続いて施行、年齢認証義務付け法。個人情報漏えいの危険性も2023.01.31 07:00 宮城圭介 日本もいずれそうなる? 子どものアダルトサイト閲覧を制限するために年齢認証を義務付ける法律がアメリカ、ヨーロッパで続いて成立・施行されました。 アメリカのルイジアナ州では2023年1月から、アダルトサイトにアクセスするために、年齢認証を行う第三者機関にデジタル運転免許証を提出する義務付けがスタート。 EU(欧州連合)では「デジタル・サービス法」、イギリスでは「オンライン・セーフティー法」で、広告表示やアクセスの年齢認証が義務付けられています。 年齢認証の歴史1990年代のアメリカから年齢認証の議論は上がっていました。利用者にクレジットカード情報を提出させ、18歳未満のアダルトサイト、ギャンブルサイト閲覧制限の法律が施行。 フィッシング被害の懸念が高まってくると、企業はリスクを避けた年齢
同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
Resecurity | EvilProxy Phishing-as-a-Service with MFA Bypass Emerged in Dark Web
Back EvilProxy Phishing-as-a-Service with MFA Bypass Emerged in Dark Web Cybercrime Intelligence 5 Sep 2022 MFA, Dark Web, Phishing, PhaaS, ATO, BEC, PyPi, supply chain Following the recent Twilio hack leading to the leakage of 2FA (OTP) codes, cybercriminals continue to upgrade their attack arsenal to orchestrate advanced phishing campaigns targeting users worldwide. Resecurity has recently ident
Roasting 0ktapus: The phishing campaign going after Okta identity credentials
Multi-factor authentication (MFA) is often implemented as a form of enterprise identity security to protect organizations against credential theft , dictionary attacks, and brute force techniques. But what if MFA is intercepted by a fraudster? In the cyber arena, where there is a continuous arms race with offensive and defensive strategies trying to outcompete each other, techniques that overcome
Twilioフィッシング攻撃はOktaになりすました大規模キャンペーンの一環──Group-IB報告
米Twilioが8月7日(現地時間)に報告した「高度なソーシャルエンジニアリング攻撃」は、130以上の組織を攻撃した大規模なフィッシングキャペーンの一環だったと、シンガポールに拠点を置くセキュリティ企業Group-IBが25日に公式ブログで報告した。 この大規模フィッシング攻撃では、米カリフォルニア州サンフランシスコに拠点を置くIDプロバイダーOktaのログインページになりすましたページが使われているため、Group-IBはこのフィッシングキャンペーンを「Oktapus」と名付けた。 攻撃者は、なりすましたログインページを使って130以上の組織の9931件のログイン資格情報を盗み、そのデータを使ってVPNやリモートアクセス端末を介して企業のネットワークにアクセスしたという。キャンペーンは遅くとも2022年3月には始まったとしている。 攻撃者はまず入手(入手方法は不明)した電話番号にOkta
2要素認証を突破するサイバー攻撃に組織はどのように対応するべきか
組織のセキュリティと同じように、サイバー攻撃も巧妙化しています。2要素認証において、組織に重要な取り組みとマインドセットを解説します。 先日「2要素認証」について本連載で取り上げました。2要素認証はパスワードだけに頼らない認証方法であり、「次の世代の手法」とされてきました。しかし、ここで"次"とされてきたものも、攻撃者の進化により“今”となり、すぐに“過去”になるでしょう。 2要素認証と一言で言っても、その強度は手法によって変わります。今回紹介する事件はそれを教えてくれる教訓となるものです。一緒に学んでいきましょう。 先進的IT企業が高度な手法で攻撃される 今回取り上げるのは2つの企業です。1つ目はクラウドサービスとしてコミュニケーションプラットフォームを手掛けるtwilioです。twilioは2022年8月10日、自社が標的型攻撃を受けたことをレポート「Incident Report:
Protect against AiTM/ MFA phishing attacks using Microsoft technology
Home > Security > Protect against AiTM/ MFA phishing attacks using Microsoft technology In the last couple of weeks, many researchers warns of a new large-scale phishing campaign that is using the adversary-in-the-middle (AiTM) techniques to bypass multi-factor authentication. Following Zscaler researchers Sudeep Singh and Jangadeeswar Ramanukolanu the campaign is designed to reach end users in en
Microsoft、多要素認証を回避するサイバー攻撃を観測
Microsoftは7月12日(現地時間)、多要素認証を有効にしていても認証プロセスをスキップするフィッシングキャンペーンを観測したと発表した。 今回の観測では、AiTM(Adversary-in-The-Middle)フィッシングを利用したものが発見されており、少なくとも1万を超える組織が標的となったとしている。「AiTMフィッシング」は、ターゲットとフィッシングWebサイトの間にプロキシサーバを配置し、ターゲットのパスワードとWebサイトとのセッションを保つCookieを窃取する攻撃。セッションCookieが盗まれると、多要素認証を利用していたとしても、Cookieを用いてユーザになりすますことができてしまうため、多要素認証も回避されてしまう。 サイバー攻撃対策チームは、調査によってキャンペーンの遂行方法などを分析し、結果としてソリューションの保護機能を改善して充実させることに成功した
Office 365のアカウントを多要素認証すら回避して乗っ取るAiTMフィッシング攻撃が1万以上の組織を標的にしていたとMicrosoftが公表
Microsoftのセキュリティ研究チームが、HTTPSプロキシ技術を使ってOffice 365アカウントを乗っ取る大規模なフィッシング攻撃キャンペーンである「Adversary-in-the-Middle(AiTM)」が確認できたと発表しました。この攻撃は多要素認証を回避することが可能で、2021年9月以来1万以上の組織が標的になっているとのことです。 From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-ait
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Phishing-resistant MFA | Zero Trust | Cloudflare
NYFDS Cybersecurity Regulation Address MFA Hurdles - Duo
Hackers are using this sneaky exploit to bypass Microsoft's multi-factor authentication
Ongoing phishing campaign can hack you even when you’re protected with MFA
Clever phishing method bypasses MFA using Microsoft WebView2 apps
SIM-based Authentication Aims to Transform Device Binding Security to End Phishing