安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ(八尾市議会議員の事例ではソフトバンク柴田店)で何者かが契約変更(MNPや最新のiPhoneへの機種変更など)を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェック
【読売新聞】 マイナンバーカードの偽造が相次いで発覚している。不正対策による「信用」で本人確認時のチェックが甘くなり、悪用につながっているとみられ、SNSでは1万~2万円で流通しているという。中国籍の被告が取材に応じ、偽造の実態を証
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
いまさら聞けないActive Directoryの仕組みと運用:今だからこそ学び直すActive Directory基礎のキソ(1) Microsoftの「Active Directory」は、オンプレミスにおけるID管理システムとしてリリースされてから20年以上経過しました。その間、Active Directoryの構築や運用に携わってきたメンバーは去り、社内にノウハウもないまま引き継がなければならなくなったメンバーも多いと聞きます。そこで本連載では、あらためてActive Directoryを学び直していきます。
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
昨今は、さまざまな要因から、複数のクラウド(IaaS)プロバイダーを活用することが多くなりました。例えば、サービスのワークロードはAWSだが、データ分析はGoogle CloudのBigQueryを使うなどです。異なるプロバイダー間でのリソースにアクセスするには、認証が必要であり、シークレットを安全に発行・交換する必要があります。クラウドプロバイダーが動的に発行する等さまざまな方式がありますが、システムの制限や運用によっては安全なシークレットの取り扱いのために、慎重な技術設計が必要になる場合もあります。 今回は、LayerXにおける要件パターン、脅威モデリングに基づく判断と実装方法を紹介することで、「どこまで気をつけるべきか?」「何を想定すべきか?」といった実務に対して参考いただけると嬉しいです
マイナカードの認証「かざし利用」が可能に 法改正で
5月27日、マイナンバー法等改正法(改正マイナンバー法)などが施行され、マイナンバーカードの機能や用途が広がった。国外への引っ越しの際、事前の申請があればマイナンバーカードが失効しなくなった他、マイナンバーカードによる本人認証に関する規定も明確に。暗証番号を入力しない「かざし利用」が可能になった。デジタル庁もかざし利用を推進する方針だ。 デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。 かざし利用は、求められる認証強度が低い場面での利用を想定しており、デジタル庁は例として「図書館カードとしての利用や避難所への入退場の際の利用」を挙げている。 ただしオンライ
Google、パスワードに代わる認証方式「パスキー」のアップデートを発表 「4億以上のGoogleアカウントがパスキーで保護」
Googleは2024年5月2日(米国時間)、パスワードに代わる認証方式「パスキー」のアップデートとクロスアカウント保護機能プログラムの拡大を発表した。 Googleによると、2022年5月5日の世界パスワードデーにパスキーを発表して以来、4億を超えるGoogleアカウントで、10億回以上のユーザー認証にパスキーが使用されてきたという。 「パスキーは使いやすく、フィッシングに強く、指紋、顔スキャン、PINのみで認証できるため、パスワードよりも50%高速だ。現在のGoogleアカウント認証には、パスキーが日常的に使用されている。利用数は、SMSワンタイムパスワード(OTP)やアプリケーションベースのOTP(「Google Authenticator」など)といった従来の2SV(2段階認証)の合計よりも多い」とGoogleは述べている。 Googleの発表内容は以下の通り。 クロスアカウント保
スマートフォンに搭載するマイナンバーカードの機能拡大を柱とするマイナンバー法の改正案が29日、参院特別委員会で可決された。近く参院本会議で可決し成立する見通しとなった。マイナンバーカードのすべての機能をスマートフォンに搭載できるようにする。インターネット上で銀行や証券会社の口座を開設する際に、わざわざ実物のカードをかざして読み込ませたり、撮影して画像を送ったりといった段取りが不要となる。コン
2日でファン限定支援サイトを作った話
はじめまして。新時代IP創出事業を手掛けるsaipと申します。 普段は社員3人のスタートアップ株式会社TrippyでCCO兼CTOを務め、生成I受託事業の傍ら、AIキャラクターとのゲーミフィケーションされたコミュニケーションが楽しめるアプリ「Oz-オズ-」を開発・運営しています。 最近、「Oz-オズ-」のキャラクターのプロモーションのためにXで発信し始めた漫画の後日譚的コンテンツがメンバーシップ制で楽しめる「Oz Fanz」というWebサイトを思い立って2日で公開しました。 この記事では、どのような技術スタックを用いてそのような高速開発が可能になったかを公開し、皆様からのご鞭撻をもとに、粗いシステムを改善していこうという魂胆です。私のWeb開発歴は1~2年くらいなので、かなり考慮漏れが存在しています。テストを一切書いていないなど…。 選定の方針 あまり資金に余裕がないので、コストを極力抑え
米Microsoftは5月2日(現地時間)、コンシューマー向けのMicrosoftアカウントで、パスワードレス認証「パスキー(Passkey)」を用いたサインインのサポートを開始した。2日より、Microsoft 365やCopilotなど、MicrosoftのアプリケーションおよびWebサイト(デスクトップ、モバイル)のサインインにパスキーが使用可能になった。数週間以内に、パスキーを使ったモバイルアプリへのサインインもサポートする予定である。 同社は2015年、Windows 10でWindows Helloを使ったサインインのサポートを開始し、FIDOセキュリティキー、Microsoft Authenticatorアプリなど、パスワードレスへの移行を推進してきた。2021年9月には、Microsoftアカウントからパスワードを削除し、パスワードなしで使うオプションの提供も開始した。 パ
はじめに こんにちは、計測プラットフォーム開発本部SREブロックの近藤です。普段はZOZOMATやZOZOGLASS、ZOZOFITなどの計測技術に関わるシステムの開発、運用に携わっています。 計測プラットフォーム開発本部では、複数のプロダクトを運用していますが並行して新しいプロダクトも開発しています。SREチームでは増え続けるプロダクトの運用負荷に対して改善は行っていますが、さらなるプロダクトの拡張に備えてZOZOFITの開発運用を別チームへ移管することになりました。移管作業の中でAWSリソースを別チームが管理するAWSアカウントへ移行する作業が発生することになりました。本記事では移行時に遭遇した課題と、その課題の解決に至るまでの取り組みをご紹介します。 目次 はじめに 目次 背景・課題 調査 ユーザ移行Lambdaの作成 簡易ダイアグラム フローチャート ユーザ移行Lambdaの処理
クレジットカードのVisaがパスキー対応など新機能リリース
2024年5月15日に開催されたVisaの年次フォーラムで、パスキー対応などを含むVisaの新機能が紹介されました。 Visa Reinvents the Card, Unveils New Products for Digital Age | Business Wire https://www.businesswire.com/news/home/20240515563838/en/ ◆フレキシブルクレデンシャル 1枚のカードで複数の支払い方法を管理できる機能です。これにより、1枚のカード(資格情報)でデビット、クレジット、ポイント払い、無利息4回払いの「Pay in 4」といった、さまざまな支払い方法にアクセスできるようになります。フレキシブルクレデンシャルはすでにアジア地域でスタートしていて、三井住友カードはクレジット・デビット・ポイント払いをアプリで切り替えられる「フレキシブルペイ
Appleは5月30日、iPhone(iOS)の「ウォレット」アプリにおいて、日本の「マイナンバーカード(個人番号カード)」を利用できるように準備を進めていることを明らかにした。デジタル庁と協力して、2025年春の後半からから利用できるようになる予定だ。 【追記:15時】Appleとデジタル庁への取材をもとに追記を行いました。 iPhoneに搭載するマイナンバーカードでは、物理カードと同様に「コンビニエンスストアでの公的証明書の発行」「iOS版マイナポータルアプリへのアクセス」などに利用できる。カードのデータは「ISO 18013-5シリーズ」および「ISO 23220シリーズ」に定める基準に基づいて保存され、利用時はFace IDまたはTouch IDでの認証が必要となる。 なお、ウォレットアプリでの身分証明書の表示対応は米国外では初の事例となる。 マイナンバーカードと同じ内容を実装でき
このブログ記事では、Cognitoを使ってLaravelでシンプルな認証機能を実装する方法を紹介します。 目的 クラスメソッドタイランドの清水です。 本記事では Cognito を使って Laravel で簡単な認証機能を実装します。 認証のシーケンスは以下のようになります。 また、全体の流れを理解するために Laravel のロジックは非常に簡潔になっているので、本番環境で注意が必要な部分は ⚠️ でコメントを書いています。 前提条件・知識 AWS アカウントを作成済み IAM Role, Policy, Cloud9 の環境を作成できる権限がある 使いたいAWS アカウントのリージョンで cdk bootstrap コマンドを実行済み ローカル PC に docker, docker-compose をインストール済み 手順 まずは CDK を実行するための環境を Cloud9 で準備
Appleは5月30日、日本のデジタル庁と協力し、来春の後半からAppleウォレットでマイナンバーカードを利用できるよう、準備を進めていることを公表した。Appleウォレットの身分証明書機能を、米国外で展開するのは日本が初めてとしている。 この機能を活用することにより、iPhoneのAppleウォレットにマイナンバーカードを追加でき、物理的なカードと同じようにコンビニエンスストアで公的な証明書等を発行したり、「マイナポータル」iOSアプリにアクセスしてオンラインの行政サービスを受けるなどして利用することができるようになるという。 Appleウォレットで身分証明書を提示するAppleウォレットのマイナンバーカードは、物理的なカードを取り出したりデバイスを人に渡したりすることなく、iPhoneに身分証明書を追加して提示することができる。この機能が利用できるようになると、利用者はウォレットを開い
モバイル コンパクトなSE好きにはどう受け止められるのか 「iPhone SE4」、有機ELやFace ID搭載でも8万円以下に収まる? Image:Wachiwit/Shutterstock.com アップルの次期廉価版スマートフォン「iPhone SE4」が準備中であることは、著名アナリストやサプライチェーンからの有力情報が相次いだこともあり、ほぼ確実視されている。が、iPhone 14標準モデルをベースとする=有機ELディスプレイやFace IDが搭載されるとの予想から、第3世代からかなりの値上げになるとの懸念もある。 そんななか、アップルは米国でのiPhone SE4の開始価格について、500ドル以下を目指しているとの噂が報じられている。 リークアカウントの@Revegnus1によると、iPhone SE4の米国価格は第3世代と同じ429ドルに据え置かれるか、約10%の値上げになる
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
偽造マイナンバーカードを使用したSIMスワップについてまとめてみた - piyolog
マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言…本人確認に目視のみ多く悪用拡大
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
いまさら聞けないActive Directoryの仕組みと運用
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
AWSだ! Google Cloudだ! Azureだ! 認証連携だ!
マイナンバー法改正案、今国会成立へ スマホにカードの全機能搭載 - 日本経済新聞
Microsoftアカウントがパスキーに対応、パスワードなしで安全にサインイン
MFA設定必須のCognitoのクロスアカウントマイグレーションについて - ZOZO TECH BLOG
iPhoneのウォレットアプリで「マイナンバーカード」 2025年春後半から予定
Cognito で Laravel の認証を実装する | DevelopersIO
Apple、iPhoneにマイナンバー機能を搭載へ--Appleウォレットの身分証明書機能は米国外で初
「iPhone SE4」、有機ELやFace ID搭載でも8万円以下に収まる? | Gadget Gate