MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落

MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches

2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。  多要素認証の普及に伴い、それらのを攻撃する際の構成要素の1つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。

Continue reading “MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落”

Microsoft Azure AD 認証がアップデート:期限付きパスコードの提供で高まる柔軟性

Microsoft updates Azure AD with support for temporary passcodes

2022/07/01 BleepingComputer — Azure Active Directory (Azure AD) の管理者による、期限付きのパスコードの発行が可能になった。このパスコードは、パスワードレス認証での新規登録や、Windows オンボーディング時において、また、認証情報や FIDO2 キー紛失などのアカウント復旧においても利用できる。 Microsoft は TAP (Temporary Access Pass) と表現しているが、Azure ポータルからAzure AD の認証方式ポリシーで TAP を有効にすると、(初回サインアップ時やデバイスのセットアップ時に) 認証情報を登録するために利用できるようになる。

Continue reading “Microsoft Azure AD 認証がアップデート:期限付きパスコードの提供で高まる柔軟性”

Microsoft が Azure AD 全テナントに対して Security Defaults を有効化

Microsoft to force better security defaults for all Azure AD tenants

2022/05/27 BleepingComputer — Microsoft の発表によると、すべての既存 Azure Active Directory (Azure AD) テナントにおいて、厳格なセキュリティ設定である Security Defaults を、2022年6月下旬には自動的に有効にするとのことだ。2019年10月に、新規テナントのみに対して導入された Security Defaults は、IT チームを持たない組織であっても、最小限の労力で優れた ID セキュリティ衛生を導入できるように設計された、一連の基本的なセキュリティ機構である。

Continue reading “Microsoft が Azure AD 全テナントに対して Security Defaults を有効化”

Microsoft 警告:Outlook と Azure AD を悪用するフィッシング・キャンペーン

Microsoft warns of multi-stage phishing campaign leveraging Azure AD

2021/01/27 BleepingComputer — Microsoft の脅威アナリストたちは、盗み出した認証情報を用いてターゲットのネットワークに悪意のデバイスを登録し、そのデバイスを用いてフィッシング・メールを配信するという、大規模かつ多段階なマルチステージ・フィッシング・キャンペーンを発見した。報告書によると、この攻撃は、多要素認証 (MFA) 保護が施されていないアカウントでのみ発生しており、それが要因となったことで 乗っ取りが容易になっていた。

Continue reading “Microsoft 警告:Outlook と Azure AD を悪用するフィッシング・キャンペーン”

Microsoft のパスワードレス・ログインが始まったらしい

Microsoft rolls out passwordless login for all Microsoft accounts

2021/09/15 BleepingComputer — Microsoft は、今後の数週間にわたってパスワードレス・ログインのサポートを展開し、顧客がパスワードを使用せずに Microsoft アカウントにサインインできるようにする。Microsoft は、2020年に 1億5,000万人以上のユーザーがパスワードを使用することなく、Azure Active Directory や Microsoft アカウントにログインしていることを報告した後に、3月から商用顧客環境でのパスワードレス認証の展開を許可した。

Continue reading “Microsoft のパスワードレス・ログインが始まったらしい”

AMaaS >IDaaS:クラウドとオンプレの ID を統合

Pushing the Limits of IDaaS with AMaaS

2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。

Continue reading “AMaaS >IDaaS:クラウドとオンプレの ID を統合”