Tag: single sign-on

SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する

SAML vs. OAuth 2.0: Mastering the Key Differences

2025/06/13 SecurityBoulevard — 月曜日の朝の、こんな状況を想像してほしい。コーヒーを飲み、デスクに座り、PC を開く。まずはメールにログイン。次にプロジェクト管理ツールを起動する。最初のタスクに取り掛かる前に、迷路のようなログイン画面をくぐり抜け、何度もパスワードを入力していく。こんな日常があるはずだ。

デジタル化が進む現代社会で、私たちは、数え切れないほど多くのアプリケーションにアクセスしている。膨大な認証情報の管理は面倒なだけではなく、セキュリティ・リスクにもつながる。そこで、Single Sign-On (SSO)  のようなテクノロジーが役に立つ。SSO は、1回のログインを介することで、複数の承認済みアプリケーションへのアクセスが許可されるという、心地よい世界を実現してくれる。こうした、SSO とセキュア・アクセスの文脈でよく話題に上がるのは、2つの主要な技術 SAML と OAuth 2.0 である。

Continue reading “SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する”

Cloudflare の OPKSSH が OSS として提供:SSH に Single Sign-On がやってくる

Cloudflare open sources OPKSSH to bring Single Sign-On to SSH

2025/03/28 HelpNetSecurity — OPKSSH は IdP (identity providers) との緊密な統合により、信頼できるサードパーティであっても介在をすることで、合理的かつ安全性の高い方法で SSH 認証を管理するものだ。今週に、OpenPubkey プロジェクト傘下に位置するかたちで、OPKSSH は 正式にオープンソース化された。OpenPubkey 自体は、2023 年に Linux Foundation のオープンソース・イニシアチブになったが、これまでの OPKSSH はクローズド・ソースだった。

Continue reading “Cloudflare の OPKSSH が OSS として提供:SSH に Single Sign-On がやってくる”

Active Directory 管理者への警鐘:NTLMv1 のグループ・ポリシーと認証バイパス

NTLMv1 Group Policy Bypass Discovered: A Wake-Up Call for Active Directory Administrators

2025/01/21 SecurityOnline — グループ・ポリシーのメカニズムに存在する深刻な欠陥により、古い NTLMv1 認証プロトコルの無効化に失敗することが、Silverfort の調査で明らかになった。具体的に言うと、Active Directory ポリシーにより NTLMv1 をブロックしても、ミスコンフィグの発生により、この制限のバイパスを攻撃者に許す可能性があるという。この欠陥は、依然として旧式の認証システムに依存している企業にとって、深刻なリスクになる。

Continue reading “Active Directory 管理者への警鐘:NTLMv1 のグループ・ポリシーと認証バイパス”

GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX:直ちにパッチ適用を!

GitHub Enterprise Server Patches Critical Security Flaw – CVE-2024-9487 (CVSS 9.5)

2024/10/13 SecurityOnline — GitHub が公表したのは、GitHub Enterprise Server に存在する2件の脆弱性に対処するためのセキュリティ・アップデートのリリースである。そのうちの1つは、このプラットフォームの SAML SSO 認証メカニズムに存在する、認証バイパスの脆弱性 CVE-2024-9487 (CVSS:9.5) であり、 攻撃者に不正アクセスを許す可能性が生じている。

Continue reading “GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX:直ちにパッチ適用を!”

WatchGuard の深刻な脆弱性 CVE-2024-6592/6593 が FIX:PoC も提供

Critical WatchGuard Vulnerabilities Discovered: CVE-2024-6592 and CVE-2024-6593

2024/09/27 SecurityOnline — WatchGuard の Authentication Gateway (SSO Agent) と Single Sign-On Client に存在する、2つの深刻な脆弱性 CVE-2024-6592/CVE-2024-6593 が明らかにされた。この脆弱性が悪用されると、数千の組織に影響が及ぶ可能性があると、サイバーセキュリティ企業の RedTeam Pentesting GmbH は指摘している。

Continue reading “WatchGuard の深刻な脆弱性 CVE-2024-6592/6593 が FIX:PoC も提供”

OpenAM の脆弱性 CVE-2024-41667 が FIX:PoC エクスプロイトも提供

CVE-2024-41667: OpenAM Vulnerability Exposes Authentication Systems to Critical Risk

2024/07/31 SecurityOnline — 包括的なアクセス管理ソリューションである Open Identity Platform の OpenAM に、深刻な脆弱性 CVE-2024-41667 (CVSS:8.8) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステム上で任意のコードの実行が可能になる。その結果として、OpenAM を活用することで、認証/Single Sign-On (SSO)/認可/フェデレーション/エンタイトルメント/Web サービスなどの、セキュリティに対応している組織にとって重大な脅威が生じる。

Continue reading “OpenAM の脆弱性 CVE-2024-41667 が FIX:PoC エクスプロイトも提供”

Logpoint SAML 認証の脆弱性 CVE-2024-36383 がFIX: リモートからのファイル削除の可能性

Logpoint Patches Critical SAML Authentication Flaw (CVE-2024-36383): Remote Attackers Could Delete Files

20224/05/30 SecurityOnline — Logpoint が発表したセキュリティ・アドバイザリは、SAML 認証モジュールに存在する深刻な脆弱性を伝えるものである。この脆弱性 CVE-2024-36383 (CVSS:9.1) の悪用に成功した攻撃者は、SAML Single Sign-On (SSO) URL レスポンスにおける URL インジェクションを介して、任意のファイル削除を実行する可能性を持つ。

Continue reading “Logpoint SAML 認証の脆弱性 CVE-2024-36383 がFIX: リモートからのファイル削除の可能性”

MagicWeb という AD FS 狙いのマルウェア:ロシアの国家支援ハッカー Nobelium が開発

MagicWeb Mystery Highlights Nobelium Attacker’s Sophistication

2023/02/11 DarkReading — ロシアに関連する Nobelium グループが開発した、Active Directory Federated Services (AD FS) に対する高度な認証バイパス・マルウェアを、Microsoft が検出した。 この、Microsoft が MagicWeb と呼ぶ Nobelium のマルウェアは、ユーザーの AD FS サーバにバックドアを埋め込み、特別に細工した証明書を使用して通常の認証プロセスを迂回させるものだ。Microsoft のインシデント対応担当者は、認証フローのデータを収集し、攻撃者が使用した認証証明書をキャプチャし、バックドアコードをリバース・エンジニアリングした。

Continue reading “MagicWeb という AD FS 狙いのマルウェア:ロシアの国家支援ハッカー Nobelium が開発”

Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった

Okta Says Security Breach by Lapsus$ Hackers Impacted Only Two of Its Customers

2022/04/19 TheHackerNews — この火曜日に、ID/アクセス管理プロバイダーの Okta は、Lapsus$ ギャングが 2022年1月下旬に引き起こした、サードパーティ・ベンダー侵入に関する調査を終了したと発表した。これまでに同社は、「このインシデントの影響は、潜在的な最大値よりも大幅に少ない」と述べていたが、当初想定されていた 366件というテナント数から、わずか2件へと減少したことを発表した。

Continue reading “Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった”

CISA 警告:Zabbix サーバーの深刻な脆弱性を悪用リストに追加

CISA warns of actively exploited vulnerabilities in Zabbix servers

2022/02/25 BleepingComputer — 米国の Cybersecurity Infrastructure and Security Agency (CISA) からの通知は、ネットワーク/サーバー/仮想マシン/クラウドサービスを監視するオープンソース・ツール Zabbix の脆弱性を、脅威アクターが悪用していると警告している。CISA は、悪意の脅威アクターによる深刻なリスクを回避するために、Zabbix サーバーに存在する脆弱性 CVE-2022-23131/CVE-2022-23134 対して、パッチを当てるよう連邦機関に要請している。また、ウクライナの CERT からも同様の警告が出ており、脆弱性のうちの1つは深刻度スコアが 9.1 だと指摘されている。

Continue reading “CISA 警告:Zabbix サーバーの深刻な脆弱性を悪用リストに追加”

Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用

Zoho warns of zero-day authentication bypass flaw actively exploited

2021/09/09 SecurityAffairs — Zoho は、ManageEngine ADSelfService Plus に存在する認証バイパスの脆弱性 CVE-2021-40539 に対処するための、セキュリティ・パッチをリリースした。この脆弱性は、リモートコード実行 (RCE) につながる可能性があり、すでにワイルドな攻撃で悪用されていると警告している。

Continue reading “Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用”

SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる

Unmanaged SaaS Data Brings Supply Chain Risks

2021/08/30 SecurityBoulevard — SaaS (Software-as-a-Service) のデータに対するアクセスが管理されていなと、内部および外部からの脅威が発生する可能性が高まる。その理由を、DoControl Inc の新しいレポートが示している。この SaaS セキュリティ企業は、平均 1,000人の従業員を抱える企業と、50万件〜1,000万件の資産を持つデータストアを評価した結果として、SaaS データ・アクセスの40%が管理されていないことを発見した。つまり、膨大な資産が、パブリックに共有される可能性があるのだ。

Continue reading “SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる”

AMaaS >IDaaS:クラウドとオンプレの ID を統合

Pushing the Limits of IDaaS with AMaaS

2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。

Continue reading “AMaaS >IDaaS:クラウドとオンプレの ID を統合”