1Password – IoT OT Security News

FIDO Alliance が提案する新仕様：Passkeys をプラットフォーム間で安全に移動可能に

New FIDO proposal lets you securely move passkeys across platforms

2024/10/15 BleepingComputer — Fast IDentity Online (FIDO) アライアンスは、異なるプロバイダー間で Passkeys を安全に転送することを目的とした、新しい仕様の作業草案を発表した。Passkeys とは、公開鍵暗号方式を活用することで、従来からのパスワードに依存しない認証方法のことである。それによりユーザーは、長い文字列を記憶したり管理したりする必要がなくなる。

1Password の深刻な脆弱性 CVE-2024-42219／42218 が FIX：アップデートの確認が重要

Critical 1Password flaws may allow hackers to snatch your passwords (CVE-2024-42219, CVE-2024-42218)

2024/08/09 HelpNetSecurity — 人気の 1Password パスワード・マネージャを提供する、AgileBits が発表したのは、macOS バージョンに影響を及ぼす2つの脆弱性 CVE-2024-42219／CVE-2024-42218 に関する情報である。これらの脆弱性の悪用に成功した攻撃者は、マルウェアを用いることで、ソフトウェアの保管庫に保存されたシークレットを盗み出し、アカウントのロック解除キーを取得する可能性を手にするという。

Passkeys の導入が拡大：2024年はイケイケでさらに加速？

How passkeys are reshaping user security and convenience

2023/11/28 HelpNetSecurity — この Help Net Security のインタビューは、1Password の Head of Passwordless である Anna Pobletts が、Passkeys の導入と 2024年のその加速について語ったものだ。この傾向は、特にフィンテックや銀行などの規制の厳しいサービスにおいて顕著になっており、それらのユーザーはシンプルで馴染みのあるサインイン体験を求めている。Anna Pobletts は、パスワードレス認証がヘルプデスクや IT リソースの負担を軽減する方法と、ビジネスの加速／増収などの、より差し迫った問題に対して、時間とエネルギーを注ぐための方法についても述べている。

1Password が公表したインシデント：Okta 認証セッションなどが悪用された？

1Password discloses security incident linked to Okta breach

2023/10/23 BleepingComputer — 1Password は、人気のパスワード管理プラットフォームであり、100,000社以上の企業で利用されている。そして、同社の Okta ID 管理テナントにアクセスしたハッカーにより、セキュリティ・インシデントに見舞われている。1Password の CTO である Pedro Canahuati は、「私たちは、当社のサポート・システムのインシデントに関連する、Okta インスタンス上で不審な活動を検出した。そして、徹底的な調査の結果、1Password のユーザー・データへのアクセスな発見されなかった」と述べている。

Microsoft が libwebp／libvpx の脆弱性に対応：Edge／Teams などを緊急アップデート

Microsoft Edge, Teams get fixes for zero-days in open-source libraries

2023/10/03 BleepingComputer — Microsoft は、Edge／Teams／Skype 向けの緊急セキュリティ更新プログラムをリリースし、それらの３製品で使用されている OSS ライブラリに存在する、２件ゼロデイ脆弱性を修正した。１つ目の脆弱性 CVE-2023-4863 は、WebP コード・ライブラリ (libwebp) のヒープバッファ・オーバーフローに起因するものであり、悪用されるとクラッシュや任意のコード実行にいたる恐れがある。２つ目の脆弱性 CVE-2023-5217 は、libvpx ビデオコーデック・ライブラリの VP8 エンコーディング機能に存在するヒープバッファ・オーバーフローに起因するものであり、悪用されるとアプリ・クラッシュや任意のコード実行にいたる。

Google Chrome のゼロデイ CVE-2023-5217 が FIX：スパイウェアによる悪用を確認

Google fixes fifth actively exploited Chrome zero-day of 2023

2023/09/27 BleepingComputer — 9月27日にリリースされた緊急セキュリティ・アップデートで Google は、今年に入ってから攻撃に悪用された５番目の、Chrome のゼロデイ脆弱性にパッチを適用した。Google のアドバイザリには、「脆弱性 CVE-2023-5217 の悪用が、野放し状態で攻撃されていることを認識している」と記されている。このセキュリティの脆弱性は、Google Chrome 117.0.5938.132 で対処され、Windows／Mac／Linux ユーザー向けの Stable Desktop チャネルを介して、全世界に展開される。

1Password からの誤通知：Secret Key／Password の変更は生じていなかった

1Password explains scary Secret Key and password change alerts

2023/05/02 BleepingComputer — 先日に 1Password で発生した、パスワードの変更に関する顧客への通知というインシデントは、サービスの中断の結果であり、セキュリティ侵害が生じたわけではないとのことだ。1Password のインシデント・レポートが明らかにしたのは、この通知は誤りであること、そして、4月27日 (木) に予定されていた定期的なデータベース・メンテナンスに関連していたことである。

ViperSoftX 情報スティーラー：KeePass／1Password も標的にする最凶のマルウェアとは？

ViperSoftX info-stealing malware now targets password managers

2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。

Twitter が SMS 2FA を廃止：iOS AutoFill や Google Auth などは利用可能とのこと

Twitter Shuts Off Text-Based 2FA for Non-Subscribers

2023/02/20 SecurityWeek — Elon Musk の Twitter だが、有料の Twitter Blue サービス・サブスクリプション以外のユーザーを対象にして、TEXT／SMS 方式の２要素認証 (2FA) 停止を突然決定し、この週末に騒動を引き起こした。2023年2月17日 (金) の遅くに Twitter は、「電話番号ベースの 2FA は、歴史的に人気のある 2FA 形式だが、残念なことに、悪意ある者により悪用される状況を目の当たりにしてきた。そこで本日から、Twitter Blue をサブスクリプションしていないアカウントに対しては、TXT／SMS 方式 2FA の登録させないようにする」と発表している。

Chrome での Passkeys サポート開始：Android／iOS デバイスの生体認証を活用

Google Adds Passkey Support to Chrome for Windows, macOS and Android

2022/12/12 TheHackerNews — Google は、次世代パスワードレス・ログイン規格である Passkeys のサポートを、Chrome の Stable バージョンで正式に展開し始めた。同社の Ali Sarraf は、「Passkeys は、フィッシングによる攻撃が可能な、パスワードなどの認証要素に代わる、より安全性の高い技術である。それらの再利用は不可能であり、また、サーバー侵害で漏洩することもないため、フィッシング攻撃からユーザーを保護できる」と述べている。