「二要素認証」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティチームに求められる6つのアクションとは：
npmパッケージを狙った2度目の大規模攻撃　492のパッケージが自己増殖型ワーム「Shai Hulud」に感染
セキュリティSaaSを手掛けるAikido Securityは、npmパッケージを標的とした自己複製型ワーム「Shai Hulud」による2回目の大規模サプライチェーン攻撃を観測したと発表した。（2025/12/5）

NEC、歩きながら顔・虹彩を同時認証　小型カメラ1台でOK　1億人以上を判別
装置の前で立ち止まったりのぞき込んだりすることなく、高精度に認証可能。3m離れていても、時速6キロ（早歩き程度）で歩く人物を認証できる。（2025/12/4）

Z世代で“友人のInstagramアカウント乗っ取り”が流行？　いたずらで済まない不正アクセス禁止法違反　保護者が注意すべきこと
Z世代の間で、友達のInstagramを乗っ取る「遊び」が流行しています。推測しやすいパスワードで不正ログインし、DM盗み見や偽投稿を行いますが、これは「不正アクセス禁止法違反」となる犯罪行為です。被害を防ぐにはパスワード管理と二段階認証が不可欠。親子でリスクを話し合い、セキュリティ設定を見直すことが重要です。（2025/12/4）

セキュリティニュースアラート：
「フリーWi-Fiは使うな」　一見真実に思える“安全神話”はもう時代遅れ
「Hacklore」プロジェクトは、いかにも真実かのように語られるが実証性に乏しい安全神話を指す概念「ハックロア（Hacklore）」の見直しを図る書簡を公開した。「公共Wi-Fiの利用回避」など実態に即していない助言に改善策を提案している。（2025/12/3）

半径300メートルのIT：
「X」との連携だけじゃない？　2025年に再考すべき「認可」の話
年末の“ITお掃除”で定番の「X」（旧Twitter）のアプリ連携。そのリスクは過去のものになりつつありますが、実はここに今求められる「認可」の守り方のヒントがあります。便利さの裏に潜む“見えにくいリスク”に迫ります。（2025/12/2）

“全パスワードを一括管理”の落とし穴：
「パスワード管理ツール」の安全性を揺るがす6つのリスク、ESETが指摘
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。（2025/11/27）

NEWS Weekly Top10：
Nano Banana Proの漫画がうますぎて、自分との“性能差”にがっかり　「もう、練習しなくていいかも……」
Googleが発表した画像生成AIの新版「Nano Banana Pro」が大きな話題になった。これまで生成AIが苦手としていた日本語文字の描写がかなり正確にでき、いわゆ“ポンチ絵”も得意。筆者はこれを使い、小学4年生の息子の漫画を作成してみた。（2025/11/25）

半径300メートルのIT：
二要素認証の普及を阻む最大の敵「なんかめんどくさい」をどう打破する？
Yubicoの年次調査によると、日本の二要素認証導入率は20％と他国と比べて大幅に遅れているそうです。なぜこんなに遅れているのか、筆者はその最大のハードルを「めんどくささ」にあると考えています。ではこれをどう打破すればいいでしょうか。（2025/11/25）

パスワード管理を安全に進める
あなたのPW、狙われている――パスワードマネジャーの「6つの落とし穴」
複数のパスワードを安全かつ効率的に管理するパスワードマネジャーだが、その利便性と裏腹に、セキュリティのリスクも指摘されている。リスクや対策を紹介する。（2025/11/19）

Innovative Tech：
“透明なレイヤー”をAndroidスマホに重ね、ピクセル情報を盗む攻撃　30秒で二要素認証コードも窃取
米UCバークレーや米カーネギーメロン大学などに所属する研究者らは、Androidデバイスにおける新たな脅威として、画面上のピクセル情報を盗み取る攻撃手法「Pixnapping」を提案した研究報告を発表した。（2025/11/19）

無料でここまでできるの？：
PR：現地出張ゼロ、管理コストゼロへ　バッファローが描く機器管理省力化の現実解
多拠点のネットワーク機器の管理には困難が付きまとう。機器に不具合があると現地に赴いたり、ファームウェアを更新したりするのは大きな負担だ。バッファローはこれを解消するために、基本機能が無料のリモート管理サービスを提供しているという。その開発哲学に迫った。（2025/11/28）

多要素認証（MFA）の必要性と落とし穴も考察：
日経新聞は私物PCから“認証情報”流出、過去にはUberも　なぜ「Slack侵害」が起きたのか
日本経済新聞社で発生したSlackへの不正アクセス。企業の管理が及ばない端末を起点とした攻撃の現実と、Slackを入り口にした新たな手口の脅威が改めて浮き彫りになっている。（2025/11/10）

NEWS Weekly Top10：
「死んだンゴ」から基礎研究への寄付、1週間で年間の4倍に　ノーベル賞大隅氏の財団
希少がんにより22歳で亡くなったXユーザー「なかやま」（@nkym7856◆／中山奏琉）氏が、亡くなる直前に予約投稿した「グエー死んだンゴ」。このポストがきっかけで、がん研究施設などに寄付が相次いでいる。（2025/11/4）

半径300メートルのIT：
攻撃者にチャンス到来？　パスキーを脅かすのは誰だ
パスワードに代わる安全な認証手段として注目を集めているパスキー。普及が期待されているこの技術は本当に素晴らしいものですが、そこにはあるリスクが存在します。「X」が発表した“要請”からそれをひもときましょう。（2025/11/4）

X、セキュリティキーの再登録を呼びかけ　アカウントロックの場合も
Xが、2要素認証で「セキュリティキー」を使用しているアカウントに対し、11月10日までにセキュリティキーを再登録するよう呼びかけている。設定しないとアカウントがロックされる。その他の方法で2要素認証をしているアカウントは影響ない。（2025/10/29）

X、11月10日までの2要素認証（2FA）再登録をユーザーに要請　「Twitterドメイン廃止のため」
X（旧Twitter）は、2要素認証（2FA）でセキュリティキーを使用する全アカウントに対し、11月10日までの再登録を求めた。期日までに未登録の場合、アカウントはロックされる。Xは、twitter.comドメインを廃止し、x.comドメインにキーを関連付けるための措置であり、セキュリティ上の懸念ではないと説明した。（2025/10/28）

NordVPN調べ：
セキュリティリスクの実態調査　認知と行動のズレが浮き彫りに
ビジネスパーソン1000人を対象に実施した「ビジネスパーソンの無意識な行動に潜むセキュリティリスクに関する調査」。認知と行動のズレが浮き彫りになった。（2025/10/16）

楽天証券、多要素認証を突破する「リアルタイムフィッシング詐欺」を確認　ユーザーに注意喚起
楽天証券は10日、新たなリアルタイムフィッシング詐欺の発生を確認したとして、利用者に注意喚起した。（2025/10/14）

ITmedia Security Week 2025 夏：
その不正ログイン対策は抜けるのか？　「突破されない」認証設計の10原則
2025年8月26日、ITmedia Security Week 2025 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「この設計、抜ける。―不正ログイン実行者が狙う“緩いポイント”―」と題して講演した。（2025/9/24）

メンテナーを狙ったフィッシングメールがサプライチェーン攻撃の引き金に：
合計で毎週20億以上ダウンロード、「debug」「Chalk」など18の人気npmパッケージにマルウェア混入
Node.jsのパッケージマネジャー「npm」を通じて、18種類の人気npmパッケージに悪意のあるコードが埋め込まれ公開されたという。これらのパッケージは合計で、毎週20億回以上ダウンロードされている。（2025/9/9）

半径300メートルのIT：
根絶は不可能？　辻伸弘氏が指摘するインフォスティーラー対策の問題点
証券会社の不正アクセス事案で注目を集めたインフォスティーラー。最近激増しているこのマルウェアですが実は対策が困難です。辻伸弘氏の講演から対策の問題点とやるべきことをまとめました。（2025/9/2）

半径300メートルのIT：
著名パスワード管理ソフトも歯が立たない“古くて新しい攻撃”とは？
セキュリティエンジニア必見のハッカーイベント「DEF CON 33」が開催されました。たくさんの講演がある中で筆者が注目したのは、守りの要である「パスワード管理ソフト」を標的にした“古くて新しい攻撃”でした。一体どんなものなのでしょうか。（2025/8/26）

宮田健の「セキュリティの道も一歩から」（112）：
本当は怖い「パスワードのリセット」作業
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、もっと慎重に考えたい「パスワードリセット」の話題について取り上げます。（2025/8/22）

ポケセンオンライン、ログイン時の二要素認証導入　28日から
ポケモンセンターオンラインは、全会員のアカウントに対し、8月28日からメールによる二要素認証を導入する。（2025/8/21）

詐欺電話や迷惑電話ともおさらばできる!?　次期バージョン「iOS 26」で電話対応が劇的に変わる理由
iPhoneに採用される次期バージョン「iOS 26」で、新たな「安全・安心」機能が追加される。一足先に内容を見ていこう。（2025/8/20）

いま振り返る「Windows 10」の全て【第3回】
“Windows 11に移行しない”のも納得？　「Windows 10」はここまで進化した
2015年の登場以来、数々の進化を遂げてきた「Windows 10」。2025年10月のサポート終了を控える今、移行の検討材料として主要バージョンの特徴や改良点を時系列で振り返る。（2025/8/17）

セキュリティニュースアラート：
Z世代を狙う新たな脅威　副業ブームに忍び寄るサイバー攻撃
多様な働き方が広まる今、Z世代がサイバー攻撃の新たな標的になっている。フリーランスでよく見られるビジネス慣行を悪用した攻撃の手口とは。（2025/8/6）

半径300メートルのIT：
今後不満続出？　オンライン証券の不正アクセスへの金銭補償で「損」しないには
世間を大きく騒がせたオンライン証券会社に対する不正アクセス／不正取引被害。各社は対策に動くとともに、被害者に対する金銭補償を発表しました。ただ、その割合が問題で……。今回は補償の妥当性と個人が取るべき対策を考えていきます。（2025/8/5）

ITmedia Security Week 2025 春：
InfoStealerにクッキーを盗まれるとログイン不要の正規侵入が起こる――「セキュリティのアレ」の3人が明かす、認証認可を狙う新たな手口の現状とは
2025年5月27日、ITmedia Security Week 2025 春で、インターネットイニシアティブ 根岸征史氏、SBテクノロジー 辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏がパネルディスカッション「認証認可唯我独尊 第弐章」に登壇した。ポッドキャスト「セキュリティのアレ」でおなじみのメンバーは今回、2024年の「認証認可唯我独尊」の続編に当たる内容で議論を交わした。（2025/8/5）

セキュリティソリューション：
Keeperのパスワード／特権アクセス管理製品が日本市場で提供開始
Keeper Securityは伊藤忠テクノソリューションズを通じ、日本でEPMとKeeperPAMの提供を開始した。ゼロトラストおよびゼロ知識暗号化を基盤にAI活用で企業のセキュリティを高度化する。（2025/7/30）

半径300メートルのIT：
結局どうすればいい？　二要素認証の安全神話を打ち砕くヤバイ攻撃を解説
「二要素認証を使っていれば安心」と思っていませんか？　最新の攻撃が登場したことで実は今、その“安全神話”が崩れ、正しい対策をしているつもりでも突破される事例が多数報告されています。では、どうすればいいのかを筆者と共に考えましょう。（2025/7/29）

止まらないクレカ不正利用、今必要な対策：
自社に合った“クレカ不正ログイン対策”はどれ？　メリデメ徹底解説
クレジットカードの不正利用被害が激増している今、EC事業者は自社に合った適切な不正ログイン対策や不正利用対策を講じることが重要です。今回は代表的な不正ログイン対策のメリット／デメリットを徹底解説します。（2025/7/14）

企業向けWindows Hello活用ガイド【前編】
「Windows Hello」による“脱パスワード”はもう常識？　その認証機能とは
パスワードに依存しない認証を実現する機能としてMicrosoftの「Windows Hello」がある。企業が利用する場合に、インフラやライセンス面で準備すべき点を押さえておこう。（2025/7/10）

「Amazonに似たドメイン」が急増中　プライムデーに便乗したフィッシング詐欺に注意
Amazonの大型セール「プライムデー」に便乗し、偽サイトや詐欺メールによるサイバー攻撃が急増している――セキュリティ企業のチェック・ポイントが警鐘を鳴らしている。6月には、Amazonに類似した名称のドメインが1000件以上確認され、その9割近くが「悪意ある」または「疑わしい」と判定されたという。（2025/7/9）

世界的に進む“脱パスワード”
「パスワードやめます」　英国政府が“パスキー”を使うのはなぜ？
公共サービスを提供する英国政府のWebサイト「GOV.UK」に、全面的にパスキー認証が実装されるとの計画が発表された。英国政府の狙いと、世界的に脱パスワードが進む理由を解説する。（2025/7/8）

セキュリティニュースアラート：
160億件の認証情報がダークWebに出回ったとセキュリティメディアが報道
CyberNewsは、約160億件に上るログイン認証情報が複数のデータセットに分散して流出したと報じた。一方で他のセキュリティ専門サイトは同データについて、新規に盗まれたものではなく過去に流出した認証情報を再びまとめた可能性が高いと指摘する。（2025/6/24）

半径300メートルのIT：
頼むからパスワード管理ソフトよ流行れ　筆者が激押しするワケ
筆者は常日頃から「自腹でお金を払ってでも使う」ことを推奨したいセキュリティ対策として「パスワード管理ソフト」を挙げています。ただ、このツールなかなか普及しないのも事実……。そこで今回あらためてメリットを紹介しましょう。（2025/6/17）

オルテナジー×ファーウェイで実現する新機軸の解決策：
PR：太陽光発電のサイバー攻撃対策とパワコン更新をサブスクで実現　業界注目の新ソリューションとは？
サイバーセキュリティ対策や、今後の長期稼働を見据えた設備更新が課題となっている太陽光発電業界。ファーウェイ製品との連携を軸に、オルテナジーが展開する2つのソリューションが、こうした課題に抜本的な解決をもたらそうとしている。（2025/6/17）

企業にとっても人ごとではない：
PR：アカウント乗っ取り被害激増　危機が迫る今こそパスワード管理の最適解を探る
オンライン証券サービスで多発しているユーザーアカウントの乗っ取り被害。この背景にはID／パスワードのずさんな管理、運用がある。サイバー攻撃が高度化する中、個人や企業はこれらの運用をどう再考すればいいのか。（2025/6/11）

iPhoneの「マイナンバーカード機能搭載」でできること／できないこと　セキュリティは大丈夫？
6月24日から、iPhoneにマイナンバーカード機能が搭載される。Apple Payと同様に生体認証だけで簡単にマイナンバーカードの機能が使えるようになる。自分で送信する情報を選べるため、「名前確認でカードを手渡したら、住所も見られた」といったことはない。（2025/6/6）

楽天証券、追加認証の必須化で一部にトラブルか　「無限ループ」「ログインできん」
6月1日から各種サービスでログイン追加認証を必須化した楽天証券。しかし株式市場が開いた2日午前、一部でログインできないなどのトラブルも発生しているようだ。（2025/6/2）

三輪信雄氏、エグゼクティブ・アドバイザー就任：
サイリーグHD、S＆Jと協業で“事前契約型”インシデント対応サービスを開始　徳丸氏が「オンライン証券を巡る事件」のからくりについて講演
サイリーグホールディングスは2025年5月20日、S＆J 三輪信雄氏のエグゼクティブ・アドバイザー就任、2025年7月から事前契約型のインシデント対応サービスを提供することを発表した。サイリーグホールディングス エグゼクティブ・フェローの徳丸浩氏は「最新のサイバー脅威と求められる対策」と題して講演した。（2025/5/30）

ロジテック、掌認証／ICカード認証なども可能な顔認証デバイス
ロジテックINAソリューションズは、防水/防塵設計の多機能顔認証デバイス「顔認証コネクトデバイスII」を発表した。（2025/5/29）

被害者が取るべき具体的な行動の指針も提案：
149億件超の漏えいデータに対応　「Have I Been Pwned」が大幅刷新
メールアドレスがWeb上の情報漏えいの影響を受けているかどうかを無料でチェックできるWebサービスの新バージョン「Have I Been Pwned 2.0」が稼働を開始した。（2025/5/29）

NECが万博で展開する顔認証　DXで培った「入場から決済まで」できる技術
大阪・関西万博の顔認証入場を可能にしているのが、NECの顔認証技術だ。入場だけでなく、会場内の店舗へも顔認証による決済方法を提供している。これを可能にした経緯には、NECの社内DXの取り組みも実は関係しているのだ。（2025/5/20）

Steam、過去のSMSメッセージ漏えい　電話番号や当時のワンタイムパスワード記載　8900万件規模との報道も
米Valveは5月15日、PCゲーム配信プラットフォーム「Steam」で情報漏えいがあったと発表した。漏えいした情報は、受信者の電話番号を含む、Steamのワンタイムパスコードが記載された過去のSMSテキストメッセージ。規模は明らかにしていないが、セキュリティ企業の発信や米BleepingComputerの報道によれば、8900万件以上が対象になっている可能性もあるという。（2025/5/15）

認証3回失敗で口座をロック──楽天証券、ログイン認証の仕様をさらに厳格化
楽天証券は13日、サービスログイン時に使用する「ログイン追加認証（多要素認証）」の仕様を変更すると明らかにした。3回失敗すると口座をロックする。（2025/5/13）

半径300メートルのIT：
中小企業こそ知るべき“きれいごとではないランサム対策と考え方”
多くのランサムウェア攻撃が中堅・中小企業を狙う現状がある一方で、これらの企業はなかなか対策を“ジブンゴト化”できません。このマインドを変革するにはどうすればいいのか。“きれいごとではないランサム対策と考え方”を探ります。（2025/4/30）

卒業アルバムの写真など17万件漏えいのおそれで印刷会社が経緯説明　侵入はVPN経由、公表の遅れは「納期を守る措置を優先してしまった」
卒業アルバムに使用した生徒の写真や氏名など個人情報が漏えいした可能性がある問題で、不正アクセスを受けた斎藤コロタイプ印刷が24日付で調査結果を報告した。（2025/4/28）

セキュリティニュースアラート：
Google SitesやGoogle OAuthを悪用　巧妙な新型フィッシング攻撃を解説
Googleの旧サービスなどを悪用した巧妙なフィッシング攻撃が見つかった。正規の電子メールやOAuthを利用し、偽ページへの誘導や情報の詐取を可能にする新たな攻撃手法を注意喚起している。（2025/4/23）