「二要素認証」関連の最新 ニュース・レビュー・解説 記事 まとめ

変更が必要な場合と必要でない場合を整理：
パスワードの定期的な変更はリスク軽減につながるわけではない　アカウントを安全に保つには？
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。（2024/4/23）

ITmedia Security Week 2024 冬：
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。（2024/4/9）

週末の「気になるニュース」一気読み！：
Intelのファウンドリ事業が2023年に1兆円を超す営業損失を計上／総合ベンチマークソフト「CrystalMark Retro」公開　「水晶碧」版も
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、3月31日週を中心に公開された主なニュースを一気にチェックしましょう！（2024/4/7）

半径300メートルのIT：
大流行する「スミッシング」　加害者にならないための“究極の対策”とは？
悪意のあるSMS経由で認証情報の窃取を狙う「スミッシング」が流行中です。一歩間違えば自らが“加害者”にもなりかねないこの攻撃。“加害者”にならないための究極の対策を紹介します。（2024/4/2）

WindowsのVPN問題を解消【後編】
「VPNがすぐ切れる」を解決するだけじゃない“Always on VPN”の利点はこれだ
Microsoftが提供する「Always on VPN」には、一般的なVPNサービスとは異なる幾つかの機能がある。何が違い、どのような利点があるのかを具体的に見てみよう。（2024/4/3）

「GitHub Copilot Enterprise」と「StarCoder2」の位置付けとは：
生成AIツールで気になるセキュリティ　GitHubはどう対処しているのか
TechTargetは、「NVIDIAとGitHubの新しいAIコーディングアシスタント」に関する記事を公開した。セキュリティ面の懸念は残るものの、ベンダー側もその懸念を解消するためにさまざまな対応を進めている。（2024/3/29）

セキュリティニュースアラート：
eSIMを悪用したSIMスワップの最新手口を観測　巧妙な攻撃を防ぐには
F.A.C.C.T.はeSIMカードの交換や復元機能を利用してユーザーの携帯電話番号を窃取し、オンラインバンキングへのアクセスを試みる新たなSIMスワップ攻撃を観測した。（2024/3/25）

競合する製品ではなく、相互に協力し、補完し合う：
GitとGitHub、「ソフトウェアとオンラインサービス」以外の違いは？
TechTargetは、「GitとGitHubの違い」に関する記事を公開した。ソフトウェアとオンラインサービスという違いはあるものの、GitとGitHubは競合製品ではない。（2024/3/8）

走るガジェット「Tesla」に乗ってます：
駐車中のテスラ車には近づかない方がいい　全てのクルマに欲しい「セントリーモード」の威力
今回は、小ネタ集と題して、Model 3にまつわるプチ便利な機能についていくつか紹介します。ちなみに、「そんな機能、Teslaだけのもんじゃない。私のクルマにもついとるわい」というツッコミはなしでお願いします。本稿は筆者とModel 3との関係性の中で、筆者が便利だと感じたものを紹介していきます。（2024/3/1）

セキュリティニュースアラート：
Microsoftの二要素認証を回避　120ドルで提供されるフィッシング・アズ・ア・サービスが登場
TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。（2024/2/26）

2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓”　反省を踏まえ、どう変わったか
2020年にサイバー攻撃を受けたNTTコムに当時の反省とセキュリティ改善の現況を聞く。（2024/2/26）

RAGが動作するクラウド環境に侵入、勝手にマイニング用インスタンス作成　SIerが不正アクセス被害に
SIerのNDIソリューションズ（東京都港区）の生成AIサービスが稼働するパブリッククラウド環境に不正アクセスがあった。ユーザーアカウントと暗号通貨のマイニング用と思しきインスタンスが不正に作成されていたという。（2024/2/21）

ITmedia Security Week 2023 冬：
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO（最高情報セキュリティ責任者）兼 EGセキュアソリューションズ 取締役 CTO（最高技術責任者）の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。（2024/2/21）

半径300メートルのIT：
高校生が学ぶ「情報II」が“本気すぎる”　研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。（2024/2/20）

LINEヤフー、従業者などの個人データ約5.7万件が流出　不正アクセスに伴うモニタリング強化中に判明
LINEヤフーは、第三者による不正アクセスで従業者などに関する個人データが5万7611件が漏えいした可能性があると発表。11月27日に公表した不正アクセス事案を元に、調査やモニタリングを強化する中で判明したという。（2024/2/15）

LINEヤフー、新たに約5.7万件の情報漏えい　23年11月発表の流出は約52万件に拡大
LINEヤフーは、第三者による不正アクセスを受け、約5.7万件の従業員情報が漏えいした（可能性含む）と発表した。11月に発表した約44万件の漏えいとは別事案で、11月発表分についても流出件数が約52万件に拡大したことも判明した。（2024/2/15）

半径300メートルのIT：
企業のSNSアカウントはなぜ乗っ取られるのか？　“運用の欠陥”を筆者が指摘
最近、企業組織が運営する「X」をはじめとしたSNSアカウントの乗っ取り被害をよく聞きます。なぜこれを防げないのでしょうか。そこには運用面での“欠陥”が存在するようです。（2024/2/13）

Apple Vision Pro、Bluetoothマウスには非対応
Appleは「Apple Vision Pro」の発売に合わせ、サポートページを公開した。仮想ディスプレイとして接続する方法や、利用可能な入力デバイスなどを紹介している。（2024/2/4）

「Windows 10」の二の舞にしない：
PR：IT部門の“主治医”が語る、Windows 11に移行後も「今まで通り」を維持する方法
Windows 10のサポート終了が迫り、Windows 11への移行計画を立てなければならない。Windows 11のシステム要件を確認することはもちろんだが、従業員の人数やテレワークの状況などによって望ましい手法が異なる。（2024/2/1）

X、米国のiOSで「パスキー」サポート開始　SECのアカウント乗っ取り後に
Xは、米国のiOSユーザー向けに「パスキー」を利用可能にしたと発表した。パスキーを使えば、最近SEC（米証券取引委員会）が被害にあったSIMスワップによるアカウント乗っ取りなどを回避できる。（2024/1/24）

この頃、セキュリティ界隈で：
Xで横行する「アカウント乗っ取り」と「暗号通貨詐欺」　米SECも「ビットコインETFを承認」と偽投稿の被害に　対策は？
米証券取引委員会（SEC）のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。（2024/1/22）

半径300メートルのIT：
2024年版、アカウントの正しい守り方を考える
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。（2024/1/16）

X、米SECのアカウント侵害はSIMスワップによるものと説明
米証券取引委員会（SEC）のXの公式アカウントが乗っ取られ、ビットコインのETFを承認したと偽のポストをした件で、XはSECへのSIMスワップ攻撃が原因であり、Xのシステムが侵害されたわけではないと説明した。SECは翌日、ETF承認を正式に発表したがXにはポストしていない。（2024/1/11）

TeamsとZoomのどちらを選ぶべきか【前編】
Zoomではなく「Teams」を使う理由は？　料金や機能の特徴は？
「Microsoft Teams」は、Microsoft製アプリケーションと連携がしやすいユニファイドコミュニケーションツールだ。テレワーク中のコラボレーションツールとしてのTeamsのメリットと特徴とは。（2024/1/8）

セキュリティニュースアラート：
GitHubがまだ2FAを設定していないユーザーに通知メール　期限迫るため急ぎ対処を
GitHubはサイバー攻撃対策としてユーザーに2FAの有効化を求めている。2024年1月19日までに2FAを設定しなければアカウントが制限されるため迅速な対応が求められる。（2024/1/5）

CIO Dive：
「セキュリティは負け戦」なのか？　リソース不足でも簡単にできる2つの対策
AWSの調査によると、中小企業はセキュリティ対策に十分な予算やリソースを避けていない。これにはセキュリティに対する中小企業の“誤解”が関係している可能性がある。（2023/12/22）

フィッシング詐欺の標的となった重役は47％：
「企業の重役」こそセキュリティ対策が不十分？　経営幹部を狙うサイバー攻撃を防ぐ5つの対策法　ESET
企業内で大きな権限を持つ経営幹部は、セキュリティ攻撃者の標的となることも多い。ESETは、経営幹部にセキュリティ対策の重要性や取り組みを強化してもらうための5つの対策法を解説した。（2023/12/20）

セキュリティニュースアラート：
2024年は“生成AI”と“iPhone”に注意　Acronisがサイバーセキュリティ予測を公開
Acronisは同社のキーパーソンによる2024年のサイバーセキュリティ脅威予測を公開した。生成AIへの理解が進んだ結果、新たな問題が発生すると予測されている。（2023/12/19）

海外医療技術トレンド（102）：
経済インセンティブで攻めるフランスのデジタルヘルス戦略
本連載第79回でフランスのデジタルヘルス戦略を取り上げたが、同国が2022年上半期のEU理事会議長国を務める2022年5月3日に、「欧州保健データスペース（EHDS）」に関する規則が正式に提案されるなど活発な動きを見せている。（2023/12/15）

ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。（2023/12/26）

Innovative Tech：
小学校の「端末パスワード問題」どう考える？　児童が被害／加害者になる可能性も　指紋認証は代替え案になるか
広島市立大学大学院情報科学研究科に所属する研究者らは、小学校で普及している端末のパスワード問題を取り上げ、代替案として学校向けのパスワードを用いない指紋ベースのFIDO認証適用の可能生と課題について調査した研究報告を発表した。（2023/12/8）

23andMe、690万人のDNAデータを含む個人情報が盗まれたと認める
米遺伝子検査企業の23andMeは、10月に報告した顧客情報漏えいの規模が、当初発表した1万4000人ではなく690万人だったことを認めた。顧客には2要素認証の採用を求めている。（2023/12/5）

セキュリティニュースアラート：
マルウェアを無料で配るMaaS事業者「Sordeal」の実態　推奨される対策は？
CYFIRMAは、新型のマルウェア「Nova」を開発した高度なMaaS事業者Sordeal活動について調査結果を公開した。同マルウェアの特徴から推奨される対策を紹介している。（2023/12/4）

米国国防総省も懸念：
「製造データが狙われている」、セキュリティ専門家が警鐘
セキュリティの専門家が、多くの米国メーカーの電子機器の設計に関するデータが、適切に管理されずに世界中に拡散されている可能性が高いと警告している。（2023/12/1）

Innovative Tech：
新MacBook Pro（M3）でも機密情報が漏えい　2020年以降のApple製品全てに脆弱性　米国チームが発表
米ジョージア工科大学などに所属する研究者らは、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告を発表した。（2023/11/30）

SaaS for SaaSの世界：
ムダなSaaSを“お片付け”　勃興するSaaS管理ビジネスの可能性　祖業を生かすマネフォ流の戦略は
SaaSの急増に伴い注目されるSaaS管理サービス。しのぎを削るメインプレイヤーたちに取材し、サービスの特徴や戦略を探る。今回はマネーフォワードグループの「マネーフォワード Admina」に目を向ける。（2023/11/27）

セキュリティニュースアラート：
Google、パスキーに対応したTitan Security Keyを10万個「無償配布」する計画を発表
Googleは最新版のTitan Security Keyを発表した。この新デバイスは250個のパスキーの保存が可能でGoogleストアで販売されている。Googleは2024年を通して高リスクユーザーに10万個を無償配布する計画だと説明している。（2023/11/20）

半径300メートルのIT：
SNSへの投稿は悪手？　スマホを“拾った”or“落とした”場合の正解を考える
今やスマホは生活必需品です。これを拾うまたは落とした場合にはどうするのが正解なのでしょうか。筆者の身近で起こったスマホ紛失の経験からノウハウをお伝えします。（2023/11/7）

X（Twitter）に2つの新料金プラン導入、「月額368円で青バッジなし」「月額1960円でTLに広告なし」
「Basic（ベーシック）」「Premium（プレミアム）」「Premium+（プレミアムプラス）」の3段階に。（2023/10/28）

Cybersecurity Dive：
「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い？
パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。（2023/10/22）

宮田健の「セキュリティの道も一歩から」（90）：
カモと思われぬよう、製造業も地道なフィッシング対策を
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、製造業でも対策が必要な「フィッシング」について考察したいと思います。（2023/10/20）

やさしいデータ分析：
［データ分析］円グラフやパレート図で「重要度」を可視化 〜 どの割合が本当に多いのか？
データ分析の初歩から応用まで少しずつステップアップしながら学んでいく連載の第9回。グラフを利用して「重要度」を可視化する方法と、それに関連するさまざまな考え方を追いかけます。具体的には円グラフやパレート図、積み上げ棒グラフなどを使いますが、データの取り扱い、結果の見方などに関して、考慮すべき点や見落としがちな点について、ケーススタディーを通して見ていきます。（2023/10/12）

半径300メートルのIT：
“偽サイトを見分けよう”という行為自体がもう危ない
このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。（2023/10/10）

セキュリティニュースアラート：
iOSとAndroidで推奨されるアンチウイルスアプリとは？　一覧を公開
シンガポールサイバーセキュリテイ庁は第5回サイバーセキュリティキャンペーンを開始した。iOSやAndroidで推奨されるアンチウイルスアプリも公開されている。（2023/10/3）

セキュリティニュースアラート：
「SMSは40年前の時代遅れの技術」　Googleがセキュリティを問題視
GoogleはSMSを40年前の時代遅れの技術でセキュリティ的に問題があると指摘し、より安全なリッチコミュニケーションサービス（RCS）への移行を提案している。（2023/10/2）

アクロニスのバックアップ×セキュリティソフト「Cyber Protect Home Office」に最新版　2要素認証によるデータ保護に対応
アクロニスのバックアップ×セキュリティソフト「Cyber Protect Home Office」（旧True Image）にアップデートが行われた。第三者がバックアップデータなどにアクセスする際に「2要素認証」を有効化できるようにすることで、より強固なセキュリティを確保できるようになる。（2023/9/28）

半径300メートルのIT：
パスワードの使い回しはNGで“ちょっと変えても”意味がない　ではどうする？
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。（2023/9/26）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（41）：
パスワードマネジャーのパスワードは、どうやって管理すればいいの？
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第41列車は「漏えいとパスワードの使い回し」です。※このマンガはフィクションです。（2023/10/11）

「サポート詐欺」「ランサムウェア」「偽Wi-Fi」に要注意：
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。（2023/9/22）

ITmedia Security Week 2023 秋：
侵入ぐらいは“かすり傷”――クラウド／SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか
2023年8月に開催された「ITmedia Security Week 2023 秋」において、サイバーセキュリティの専門会社トライコーダの現役ペネトレーションテスター、上野宣氏が「クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか」と題して講演した。（2023/9/13）