ニュース
細工したUSBで顔認証をだます? Windows Helloに脆弱性が発見される
パスワードレス認証システム「Windows Hello」に、USBを利用して認証を突破できる脆弱性が見つかった。現在、多くの企業が生体認証を採用した認証基盤の構築に注力しているが、その危険性についても十分に認識しておくべきだろう。
多くの企業が従来の文字列ベースのパスワードから生体認証や物理キーを利用したパスワードレス認証の普及に取り組んでいる。パスワードの管理を簡素化し、サイバー攻撃のリスクを軽減する現実的な方法として、生体認証や物理キーを使う「パスワードレス」は効果的だ。
だがこうした認証方式にも脆弱(ぜいじゃく)性は存在する。セキュリティ企業CyberArkは2021年7月13日(現地時間)、「Windows」のパスワードレス認証システムである「Windows Hello」に脆弱性が存在すると伝えた。細工したUSBデバイスを接続することで生体認証をだましてサインインが可能になると指摘している。
USBを利用してWindows Helloをだます手口とは?
CyberArkは、同社のブログ「Bypassing Windows Hello Without Masks or Plastic Surgery」で、Windows Helloの脆弱性を利用したサインインの手法について説明した。
関連記事
- Windowsの月例アップデートが配信開始 適用プロダクトは?
Microsoftは2021年7月の累積更新プログラムの配信を開始した。月例累積更新プログラムは多くの脆弱性を修正するため、迅速にアップデートを適用してほしい。 - WordPressのファイル管理プラグイン「Frontend File Manager」に複数の脆弱性 直ちにアップデートを
「WordPress」でファイル管理プラグイン「Frontend File Manager」を利用しているのであれば早急に対処が必要だ。同プラグインには深刻度が緊急(Critical)に分類される脆弱性が複数存在することが指摘されている。 - Cisco製品に複数の脆弱性 迅速なアップデートを
Ciscoは、2021年7月に複数のセキュリティアドバイザリを発行した。このうち幾つかのセキュリティ脆弱性は深刻度が重要(High)とされており注意が必要だ。スピーディーな確認とアップデートが求められる。 - Kaseya VSAサプライチェーンランサムウェア攻撃、CISAとFBIが強く対策呼びかけ
Kaseya VSAの脆弱性を利用したサプライチェーンランサムウェア攻撃が活発化している。米CISA、FBIが共同で対策ガイダンスを発表しており、直ちに対策するよう求めている状況だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.