Tag: PIV

YubiKey の脆弱性 CVE-2024-45678 が FIX:署名アルゴリズムの実装に問題

ECDSA Vulnerability in YubiKey: What You Need to Know

2024/09/04 SecurityOnline — 先日の Yubico セキュリティ・アドバイザリで公開されたのは、広く使用されている YubiKey 5 Series/Security Key Series/YubiHSM 2 などのハードウェア・デバイスに影響を及ぼす、Medium レベルの脆弱性 CVE-2024-45678 である。この脆弱性の根本的な原因は、ECDSA (楕円曲線デジタル署名アルゴリズム) を使用して暗号署名を生成する、Infineon 暗号ライブラリ内の欠陥にある。この脆弱性により、特定のデバイスがサイドチャネル攻撃にさらされるが、エクスプロイトは複雑であるためリスクは低いとされる。

Continue reading “YubiKey の脆弱性 CVE-2024-45678 が FIX:署名アルゴリズムの実装に問題”

Azure サインインにおける MFA の義務化:2024年10月の Phase_1 からスタート!

Microsoft Mandates MFA for All Azure Sign-Ins

2024/08/16 InfoSecurity — Microsoft の発表は、すべての Azure サインインに、多要素認証 (MFA) を義務付けるというものだ。ユーザーの選択は、Microsoft Entra を通じて提供される、複数の MFA オプションからニーズに合わせて行われる。以下は、その一例である:

  • Microsoft Authenticator による、プッシュ通知/生体認証/ワンタイムパスコードを使用する、モバイル・アプリからのサインイン承認。
  • Fast Identity Online (FIDO) 標準をサポートする、外部 USB 近距離無線通信 (NFC) などの外部セキュリティ・キーを使用する、ユーザー名/パスワードを必要としないFIDO2 セキュリティ・キーによるサインイン承認。
  • 個人認証 (PIV : personal identity verification) および、共通アクセスカード (CAC : common access card) を用いた、フィッシングに強い証明書ベースの MFA 実施。
  • Microsoft Authenticator を使用する Passkeys の提供。
  • SMS/Voice による承認
Continue reading “Azure サインインにおける MFA の義務化:2024年10月の Phase_1 からスタート!”