安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ(八尾市議会議員の事例ではソフトバンク柴田店)で何者かが契約変更(MNPや最新のiPhoneへの機種変更など)を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェック
【読売新聞】 マイナンバーカードの偽造が相次いで発覚している。不正対策による「信用」で本人確認時のチェックが甘くなり、悪用につながっているとみられ、SNSでは1万~2万円で流通しているという。中国籍の被告が取材に応じ、偽造の実態を証
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
【読売新聞】 自動車・二輪車メーカー5社による量産に必要な認証「型式指定」の不正申請に絡み、国土交通省が、トヨタ自動車で判明した不正行為6事例について、国の基準だけでなく日韓や欧州を含む62か国・地域が採用する「国連基準」にも反する
パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則(UX princeples) コンテンツの原則(Content principles) デザインパターン(スキーマ、サンプルビデオ、AndroidとiOS
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
いまさら聞けないActive Directoryの仕組みと運用:今だからこそ学び直すActive Directory基礎のキソ(1) Microsoftの「Active Directory」は、オンプレミスにおけるID管理システムとしてリリースされてから20年以上経過しました。その間、Active Directoryの構築や運用に携わってきたメンバーは去り、社内にノウハウもないまま引き継がなければならなくなったメンバーも多いと聞きます。そこで本連載では、あらためてActive Directoryを学び直していきます。
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
昨今は、さまざまな要因から、複数のクラウド(IaaS)プロバイダーを活用することが多くなりました。例えば、サービスのワークロードはAWSだが、データ分析はGoogle CloudのBigQueryを使うなどです。異なるプロバイダー間でのリソースにアクセスするには、認証が必要であり、シークレットを安全に発行・交換する必要があります。クラウドプロバイダーが動的に発行する等さまざまな方式がありますが、システムの制限や運用によっては安全なシークレットの取り扱いのために、慎重な技術設計が必要になる場合もあります。 今回は、LayerXにおける要件パターン、脅威モデリングに基づく判断と実装方法を紹介することで、「どこまで気をつけるべきか?」「何を想定すべきか?」といった実務に対して参考いただけると嬉しいです
ジョルダンと、都市開発を手掛ける山万は、千葉県佐倉市内の新交通システム「山万ユーカリが丘線」とコミュニティバスに、顔認証で乗車できる「ユーカリPASS」を6月15日から導入すると発表した。顔認証乗車システムの本格導入は日本初という。 券売機で販売する乗車券は、磁気券からQRチケットに移行する。 専用サイトでクレジットカードと顔写真を事前登録した上で、改札前のタブレットに顔を近づけ、認証表示が出たら改札機を通ることができる。 パナソニックコネクトが提供する顔認証技術と、ジョルダンが提供する決済・チケット管理システム「JorudanStyle Point&Pass」を使い、顔認証とチケット確認、乗車管理を可能にした。 山万ユーカリが丘線とコミュニティバスの運賃は、それぞれ大人(中学生以上)200円、小学生100円。 両者は2021年から、ユーカリが丘線とコミュニティバスでの顔認証乗車によるシス
マイナカードの認証「かざし利用」が可能に 法改正で
5月27日、マイナンバー法等改正法(改正マイナンバー法)などが施行され、マイナンバーカードの機能や用途が広がった。国外への引っ越しの際、事前の申請があればマイナンバーカードが失効しなくなった他、マイナンバーカードによる本人認証に関する規定も明確に。暗証番号を入力しない「かざし利用」が可能になった。デジタル庁もかざし利用を推進する方針だ。 デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。 かざし利用は、求められる認証強度が低い場面での利用を想定しており、デジタル庁は例として「図書館カードとしての利用や避難所への入退場の際の利用」を挙げている。 ただしオンライ
Google、パスワードに代わる認証方式「パスキー」のアップデートを発表 「4億以上のGoogleアカウントがパスキーで保護」
Googleは2024年5月2日(米国時間)、パスワードに代わる認証方式「パスキー」のアップデートとクロスアカウント保護機能プログラムの拡大を発表した。 Googleによると、2022年5月5日の世界パスワードデーにパスキーを発表して以来、4億を超えるGoogleアカウントで、10億回以上のユーザー認証にパスキーが使用されてきたという。 「パスキーは使いやすく、フィッシングに強く、指紋、顔スキャン、PINのみで認証できるため、パスワードよりも50%高速だ。現在のGoogleアカウント認証には、パスキーが日常的に使用されている。利用数は、SMSワンタイムパスワード(OTP)やアプリケーションベースのOTP(「Google Authenticator」など)といった従来の2SV(2段階認証)の合計よりも多い」とGoogleは述べている。 Googleの発表内容は以下の通り。 クロスアカウント保
スマートフォンに搭載するマイナンバーカードの機能拡大を柱とするマイナンバー法の改正案が29日、参院特別委員会で可決された。近く参院本会議で可決し成立する見通しとなった。マイナンバーカードのすべての機能をスマートフォンに搭載できるようにする。インターネット上で銀行や証券会社の口座を開設する際に、わざわざ実物のカードをかざして読み込ませたり、撮影して画像を送ったりといった段取りが不要となる。コン
2日でファン限定支援サイトを作った話
はじめまして。新時代IP創出事業を手掛けるsaipと申します。 普段は社員3人のスタートアップ株式会社TrippyでCCO兼CTOを務め、生成I受託事業の傍ら、AIキャラクターとのゲーミフィケーションされたコミュニケーションが楽しめるアプリ「Oz-オズ-」を開発・運営しています。 最近、「Oz-オズ-」のキャラクターのプロモーションのためにXで発信し始めた漫画の後日譚的コンテンツがメンバーシップ制で楽しめる「Oz Fanz」というWebサイトを思い立って2日で公開しました。 この記事では、どのような技術スタックを用いてそのような高速開発が可能になったかを公開し、皆様からのご鞭撻をもとに、粗いシステムを改善していこうという魂胆です。私のWeb開発歴は1~2年くらいなので、かなり考慮漏れが存在しています。テストを一切書いていないなど…。 選定の方針 あまり資金に余裕がないので、コストを極力抑え
Okta Customer Identity Cloud(旧 Auth0)のForms for ActionsがEAになったよ - ドワンゴ教育サービス開発者ブログ
はじめに こんにちは。ドワンゴ教育事業バックエンドエンジニアの金子です。 Okta Customer Identity Cloud(旧 Auth0。以下 Okta CIC)の新機能「Forms for Actions」(以下 Forms)がEarly Accessになりました。本番環境での使用も想定されているステージです。 教育事業での採用も見据えて、どんな機能なのか調べてみたので内容を紹介します。 Forms for Actionsとは Okta CICの認証フローをカスタマイズできる機能です。 ログイン成功時のActions1内でFormを呼び出し、ユーザーへ表示できます。 例えば下記のようなユースケースが想定されています。 プログレッシブプロファイリング 規約への同意の取得 サインアップ・ログインフローの追加ステップ メールアドレス検証の必須化 決済情報の入力 など 何がうれしいのか
クレジットカードのVisaがパスキー対応など新機能リリース
2024年5月15日に開催されたVisaの年次フォーラムで、パスキー対応などを含むVisaの新機能が紹介されました。 Visa Reinvents the Card, Unveils New Products for Digital Age | Business Wire https://www.businesswire.com/news/home/20240515563838/en/ ◆フレキシブルクレデンシャル 1枚のカードで複数の支払い方法を管理できる機能です。これにより、1枚のカード(資格情報)でデビット、クレジット、ポイント払い、無利息4回払いの「Pay in 4」といった、さまざまな支払い方法にアクセスできるようになります。フレキシブルクレデンシャルはすでにアジア地域でスタートしていて、三井住友カードはクレジット・デビット・ポイント払いをアプリで切り替えられる「フレキシブルペイ
Appleは5月30日、iPhone(iOS)の「ウォレット」アプリにおいて、日本の「マイナンバーカード(個人番号カード)」を利用できるように準備を進めていることを明らかにした。デジタル庁と協力して、2025年春の後半からから利用できるようになる予定だ。 【追記:15時】Appleとデジタル庁への取材をもとに追記を行いました。 iPhoneに搭載するマイナンバーカードでは、物理カードと同様に「コンビニエンスストアでの公的証明書の発行」「iOS版マイナポータルアプリへのアクセス」などに利用できる。カードのデータは「ISO 18013-5シリーズ」および「ISO 23220シリーズ」に定める基準に基づいて保存され、利用時はFace IDまたはTouch IDでの認証が必要となる。 なお、ウォレットアプリでの身分証明書の表示対応は米国外では初の事例となる。 マイナンバーカードと同じ内容を実装でき
Appleは5月30日、日本のデジタル庁と協力し、来春の後半からAppleウォレットでマイナンバーカードを利用できるよう、準備を進めていることを公表した。Appleウォレットの身分証明書機能を、米国外で展開するのは日本が初めてとしている。 この機能を活用することにより、iPhoneのAppleウォレットにマイナンバーカードを追加でき、物理的なカードと同じようにコンビニエンスストアで公的な証明書等を発行したり、「マイナポータル」iOSアプリにアクセスしてオンラインの行政サービスを受けるなどして利用することができるようになるという。 Appleウォレットで身分証明書を提示するAppleウォレットのマイナンバーカードは、物理的なカードを取り出したりデバイスを人に渡したりすることなく、iPhoneに身分証明書を追加して提示することができる。この機能が利用できるようになると、利用者はウォレットを開い
Edgeでクラウドサービスへログインするアカウント情報を 自動入力させる/させない方法 Gmailなどのメールサービス、FacebookなどのSNS、LINE WORKSなどのチャットサービス、ChatGPTなどの生成AIなど、プライベートやビジネスで利用するクラウドサービスは増える一方だ。最近はGoogleやFacebookなどのアカウントなどでソーシャルログインできるサービスも増えているが、それでも自分で管理しなければならないアカウント情報はたくさんある。 そこで悩ましいのがパスワードの管理だ。シンプルな文字列にすると不正アクセスされてしまうし、複雑な文字列でも複数サービスで使いまわせばこれも不正アクセスの原因になる。クラウドサービスごとにしっかりとしたパスワードを付ける場合、今度はログインする際にコピー&ペーストの手間がかかる。 Edgeを利用しているなら、パスワードのオートフィル機
モバイル コンパクトなSE好きにはどう受け止められるのか 「iPhone SE4」、有機ELやFace ID搭載でも8万円以下に収まる? Image:Wachiwit/Shutterstock.com アップルの次期廉価版スマートフォン「iPhone SE4」が準備中であることは、著名アナリストやサプライチェーンからの有力情報が相次いだこともあり、ほぼ確実視されている。が、iPhone 14標準モデルをベースとする=有機ELディスプレイやFace IDが搭載されるとの予想から、第3世代からかなりの値上げになるとの懸念もある。 そんななか、アップルは米国でのiPhone SE4の開始価格について、500ドル以下を目指しているとの噂が報じられている。 リークアカウントの@Revegnus1によると、iPhone SE4の米国価格は第3世代と同じ429ドルに据え置かれるか、約10%の値上げになる
GitHub warns of SAML auth bypass flaw in Enterprise Server
GitHub has fixed a maximum severity (CVSS v4 score: 10.0) authentication bypass vulnerability tracked as CVE-2024-4985, which impacts GitHub Enterprise Server (GHES) instances using SAML single sign-on (SSO) authentication. Exploiting the flaw would allow a threat actor to forge a SAML response and gain administrator privileges, providing unrestricted access to all of the instance's contents witho
国土交通省は2024年6月3日、トヨタ自動車など5社から型式指定申請における不正行為が行われていたとの報告があったと発表した。 ダイハツ工業や豊田自動織機などの認証試験不正の発覚を受けて同省は、型式指定を取得している自動車メーカーなど85 社に対して、型式指定申請における不正行為の有無などに関する調査・報告を指示していた。 同年5月31日までに、トヨタ自動車とホンダ、マツダ、スズキ、ヤマハ発動機の5社から、型式指定申請における不正行為が行われていたとの報告があった。 国交省はこれらの5社に対して立ち入り検査を行い、不正行為の事実関係や不正行為のあった車種の基準適合性を確認する。「その結果を踏まえて、道路運送車両法に基づき厳正に対処する」としている(表)。
現在のWebサービスにおいて必要不可欠な技術がOAuthです。本記事では、OpenID(OpenID Authentication)との違いから、認証・認可について、OAuthのメリット・デメリットまで紹介します。 OAuthとは OAuth(オーオース)とは、アクセス権限の認可を行うためのオープン標準プロトコルです。認可とは、第三者のアプリケーションに、自分のアカウントを用いたWebサービスAPIへのアクセス権限を委譲することを言います。 主にWebサービス同士を連携させて、便利に利用しやすくするための仕組みとして用いられています。OAuthを利用することで、例えばX(旧Twitter)とFacebookを連携させて、Xへ投稿した同じ内容を自動的にFacebookへも投稿させるといったことができます。 OAuthの作成が始まった2007年ごろ、当時はマッシュアップによるWebサービス連携
SendGridとCloud Functions for Firebaseでメールの自動送信を作ってみました。 はじめにバックエンドの藤岡です。 今回はSendGridという簡単にメールを送れるサービスを使ってみたので、基本的な使い方をまとめてみようと思います。SendGrid自体は様々な言語や使用形態があるそうですが、今回はCloud Functions for Firebase上でNode.jsとして使っていきます。 前提知識Cloud Functionsの基礎知識Firestoreの基礎知識TypeScriptの基礎知識前提条件Firestore、Cloud Functionsが環境構築してあるSendGridのアカウントを作成して、API Keyを作成してある全体の流れ今回は「送信完了メール」を想定して、ユーザーがFirestoreにドキュメントを追加したことを感知して、そのユーザ
Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法 - G-gen Tech Blog
G-gen の又吉です。当記事では、Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法を紹介します。 概要 背景 構成 準備 必要な API の有効化 サービスアカウントの作成 functions-2 関数のサービスアカウント作成 functions-3 関数のサービスアカウント作成 フォルダ構成 functions_1/main.py functions_1/requirements.txt functions_2_3/main.py functions_2_3/requirements.txt Cloud Functions の作成 functions-1 関数の作成 functions-2 関数の作成 functions-3 関数の作成 権限の付与 動作確認 実行 1 実行 2 もう少し深堀ってみる curl コマンドで実行 トークンの確
できるようになること メールアドレス確認のテンプレートを使用せず、文章を変更できるようになります 環境 Amazon Simple Email Service(Sendgridでも可) FirebaseCloudFunctions 大まかな流れ createUserWithEmailAndPassword して、auth.user を firebase に作成する cloud functions で auth.user が作成された時に、メールアドレス確認リンクを作成する メール文章にリンクを載せて、メール配信サービスを使って送信する コード 1. createUserWithEmailAndPassword して、auth.user を firebase に作成する firebase.auth().createUserWithEmailAndPassword(email, passwor
AWS CLI のいろんな認証方式
はじめに AWS CLI を使用する場合、接続先の AWS アカウントに対して認証を行う必要があります。この認証方式には以下のような条件により複数のパターンが存在しており、覚えるのが少しめんどうです。 MFA の要否 スイッチロールの要否 IAM ユーザー Or AWS IAM Identity Center(旧 AWS SSO)を使用した SSO ユーザー 毎回設定方法を調べるのがツラくなってきたので、よく使用するパターンをまとめておこうと思います。なお、MFA を有効化していない環境はさすがにもう見なくなったので省略します。まだ MFA を有効化していない方はいますぐ設定しましょう👍 認証パターン別 AWS CLI プロファイル設定方法 比較的よく採用される認証パターンについて、AWS CLI の名前付きプロファイル設定とコマンド実行のサンプルをまじえて紹介します。 IAM ユーザー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
偽造マイナンバーカードを使用したSIMスワップについてまとめてみた - piyolog
マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言…本人確認に目視のみ多く悪用拡大
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
トヨタの不正行為6事例、「国連基準」も満たさず…国交省「欧州でも不正と判断される可能性高い」
「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開
トヨタでも認証不正 会長「撲滅は無理」「完璧な会社ではない」:朝日新聞デジタル
いまさら聞けないActive Directoryの仕組みと運用
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
AWSだ! Google Cloudだ! Azureだ! 認証連携だ!
「顔認証で改札通過」日本初の本格導入 乗車券は磁気→QRに 千葉・ユーカリが丘線
マイナンバー法改正案、今国会成立へ スマホにカードの全機能搭載 - 日本経済新聞
iPhoneのウォレットアプリで「マイナンバーカード」 2025年春後半から予定
Apple、iPhoneにマイナンバー機能を搭載へ--Appleウォレットの身分証明書機能は米国外で初
Edgeで簡単ログイン! クラウドサービスのログイン自動化テクニック
「iPhone SE4」、有機ELやFace ID搭載でも8万円以下に収まる? | Gadget Gate
トヨタなど5社が型式指定申請で不正、国交省が立ち入り検査へ
OAuthとは? 認証・認可の違いから、認可の仕組み、メリット・デメリットまで紹介
SendGridをCloud Functionsで使ってみた
FirebaseのAuthenticationのメールアドレス確認の文章を変更する方法