How open-source MDM solutions simplify cross-platform device management
2024/11/01 HelpNetSecurity — 先日に Help Net Security が公開した、Fleet の CEO である Mike McNeil へのインタビューは、管理されていないモバイル・デバイスがもたらすセキュリティ・リスクについて警告するものだ。それに加えて、モバイル・デバイス管理 (MDM:Mobile Device Management) ソリューションにより、それらのリスクに対処する方法も述べている。さらに、彼が語っているのは、MDM に対する従業員の抵抗感/オープンソースの透明性が信頼を構築する方法/遠隔地のデバイス管理に関する洞察/MDM テクノロジーの今後の展望などである。
Continue reading “MDM と OSS:多種多様なプラットフォームとデバイスのための osquery とは?”Security Vulnerability: Researcher Finds FIDO2 Open to Session Hijacking
2024/05/12 SecurityOnline — パスワードレスのスタンダードとも言える FIDO2 は、フィッシングや中間者 (MiTM) 攻撃からの保護のために設計された認証規格であるが、Silverfort のセキュリティ研究者である Dor Segal の新たな研究により、深刻な脆弱性が存在することが明らかになった。FIDO2 のセキュリティ機能は強力だが、認証セッションは依然として、MiTM 攻撃により乗っ取られる可能性があり、機密性の高いユーザー・データを暴露し、アカウントを危険にさらす、可能性が潜むことが示唆される。
Continue reading “FIDO2 が及ばない領域:MiTM 攻撃による認証セッション窃取は防げない”Google Adds Passkey Support to New Titan Security Key
2023/11/16 SecurityWeek — 今週に Google は、Passkeys サポートを追加した、Titan セキュリティ・キーの新バージョンを発表した。Titan セキュリティ・キーは、フィッシングに強い二要素認証デバイスであり、連動するアプリケーションの数も増えている。Google の新たな Titan セキュリティ・キーは、NFC 機能を備えた USB-A/USB-C のモデルであり、従来からのモデルを置き換えるものとなる。
Continue reading “Google の Titan セキュリティ・キー:Passkeys 対応モデルを $30 で!”Twilio discloses another hack from June, blames voice phishing
2022/10/27 BleepingComputer — クラウド・コミュニケーション企業の Twilio は、2022年6月のセキュリティ・インシデントに起因する新たなデータ侵害を開示したが、その背景には、8月に生じたハッキングで顧客の情報にアクセスした同一の攻撃者がいるようだ。Twilio によると、新たに開示された 6月29日の件は、短時間のセキュリティ・インシデントだったという。攻撃者はソーシャル・エンジニアリングを用いて、音声フィッシング攻撃で従業員を騙して認証情報を受け取った。その後に、盗まれた認証情報は、限られた顧客の情報にアクセスするために使われた。
Continue reading “Twilio 侵害の調査が完了:209人の顧客と 93人の Authy エンドユーザーに被害”The future of MFA is passwordless
2022/10/19 HelpNetSecurity — Secret Double Octopus と Dimensional Research の両者は、従業員 1,000人以上の組織において従業員の ID とセキュリティを担当する300人以上の IT 専門家を対象に、従業員のパスワードレス認証と多要素認証 (MFA) の使用状況について調査を実施した。
Continue reading “MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?”Google Rolling Out Passkey Passwordless Login Support to Android and Chrome
2022/10/12 TheHackerNews — 水曜日に Google は、次世代認証規格である Passkeys のサポートを、Android と Chrome に対して正式に展開した。Google は、「Passkeys は、フィッシングに狙われやすいパスワードなどの認証要素に代わる、より安全性の高い認証手段である。再利用できず、サーバーの侵入で漏れることもなく、フィッシング攻撃からユーザーを保護する」と述べている。この機能は、共通のパスワードレス・サインイン規格をサポートするための、広範なプッシュ規格の一部として、2022年5月に発表されたものだ。
Continue reading “Google が展開する Passkey:Android/Chrome でパスワードレス認証をサポート”Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth Apps
2022/09/24 DarkReading — Microsoft Exchange Server を乗っ取り、スパムの拡散を目的とする攻撃者たちが、侵害したクラウド・テナントに、悪意の OAuth アプリケーションを展開している。今週の Microsoft 365 Defender Research Team の発表では、多要素認証 (MFA) が無効な高リスクのアカウントに対して、クレデンシャル・スタッフィング攻撃が行われた後に、安全ではない管理者アカウントを利用した、イニシャル・アクセス獲得の様子が詳述されている。
Continue reading “Microsoft Exchange Server の侵害と乗っ取り:OAuth を悪用してスパムメールを配信”Cloudflare employees also hit by hackers behind Twilio breach
2022/08/09 BleepingComputer — 先週の Twilio のネットワークが侵害されたのと同様に、Cloudflare にも SMS フィッシング攻撃が発生し、同社の従業員の一部が認証情報を盗まれたとのことだ。この攻撃者は Cloudflare 従業員のアカウントを手に入れたが、同社の FIDO2 準拠のセキュリティキーによりログインでブロックされ、システムへの侵入には至らなかったという。
Continue reading “Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?”Microsoft updates Azure AD with support for temporary passcodes
2022/07/01 BleepingComputer — Azure Active Directory (Azure AD) の管理者による、期限付きのパスコードの発行が可能になった。このパスコードは、パスワードレス認証での新規登録や、Windows オンボーディング時において、また、認証情報や FIDO2 キー紛失などのアカウント復旧においても利用できる。 Microsoft は TAP (Temporary Access Pass) と表現しているが、Azure ポータルからAzure AD の認証方式ポリシーで TAP を有効にすると、(初回サインアップ時やデバイスのセットアップ時に) 認証情報を登録するために利用できるようになる。
Continue reading “Microsoft Azure AD 認証がアップデート:期限付きパスコードの提供で高まる柔軟性”
IoT OT Security News 