「パスワード」関連の最新 ニュース・レビュー・解説 記事 まとめ

ユーザー名とパスワードを分散化
クラックするのは14万倍難しい、新パスワード暗号化方式
パスワードの流出事故は後を絶たない。だがTide Foundationが発表した暗号化メカニズムを使えば、流出したパスワードが悪用されるのを防げるかもしれない。少なくとも従来のハッシュよりは強力だ。（2019/10/18）

今さら聞けない「セキュリティ基礎の基礎」（3）：
結局、パスワードの定期変更は不要なのか、必要なのか
パスワードの方針について総務省は2004年に「パスワードを定期的に変更するように」と総務省のサイトで呼び掛けていました。しかし、2018年に「パスワードの定期変更は不要」と内容を一変させ、話題となりました。今回はパスワードの定期変更について、米国の状況や、定期変更が必要となるパターンを見直してみます。（2019/10/15）

ドコモ、”生体認証のみ”でdアカウントログイン可能に　パスワードの不正利用を防止
ドコモが、2020年2月以降に「dアカウント パスワードレス認証」を提供する。パスワードの不正利用を防ぐのが狙い。生体認証に対応したAndroidスマートフォンやiPhoneで利用できる。（2019/10/11）

「はかたのしお」はネットのトラブル対応に役立つ合言葉？　「は→反応しない」「か→関わらない」など
「いかのおすし」的な。（2019/10/11）

そのパスワードは安全？　Google、「Password Checkup」の新機能発表
Googleアカウントに保存されたパスワード全てを対象に、不正使用されていないか、使い回していないか、脆弱なパスワードを使っていないかをチェックできる。（2019/10/3）

Google、「パスワードチェックアップ」を「Googleアカウント」の機能として追加
Googleが、「Googleアカウント」の新機能「パスワードチェックアップ」を発表した。Googleアカウントに保存している各種サービスのパスワードの安全性を確認し、問題のあるパスワードの変更を促す。2月にChromeの拡張機能として提供したものだ。（2019/10/3）

セブン、「7iD」のパスワード再設定した人に“おわびクーポン”配布　おにぎり・パンなど1品無料に
セブン＆アイが、「7iD」のパスワードを再設定したユーザーに、セブン‐イレブンの商品が1つ無料になるクーポンを配布すると発表。対象商品は税別182円以下のおにぎり・パン・フランクなど。7月30日〜11月30日にパスワード変更したユーザーにメールで配信する。（2019/9/19）

パスワード管理ツール「LastPass」に脆弱性、更新版で対処
悪用されれば、攻撃者が細工したWebサイトによって、被害者が直前に閲覧していたWebサイトの認証情報を入手できてしまう恐れがあった。（2019/9/17）

パスワードのない世界にまた一歩前進
Windows 10の次期バージョンでパスワードレスサインインが実現
Windows Helloなどによって、Windows 10のパスワードレスサインインは既に部分的に実現している。次期メジャーアップデートでは、この機能がさらに拡張されるという。（2019/9/13）

半径300メートルのIT：
SNSを一度ハッキングされたら、「パスワード変更」だけで対処を終えてはいけない
InstagramやTwitterなど、SNSを狙うハッキングの被害が後を絶ちません。膨大なフォロワーを持つセレブは格好のターゲットですが、「他人事」と思うのは間違いです。その中に、実はアカウント管理の重要な教訓が隠れているのですから。（2019/9/10）

Facebookの4億人以上のユーザーIDと携帯番号を何者かがアップロード（削除済み）
Facebookの4億人以上のユーザーIDと携帯番号のデータベースが、パスワードなしのデータベースとして公開されていた。セキュリティ研究者がTechCrunchに知らせ、TechCrunchがFacebookに確認した。データベースは既に削除されているが誰がアップロードしたのかはまだ不明だ。（2019/9/5）

閉域環境とパブリッククラウドを連携、地方公共団体向け「NEC公共IaaS」　NEC
NECは2020年春、地方公共団体向けのクラウドサービス「NEC公共IaaS」の提供を始める。マイナンバー管理などの閉域環境を維持しながら、パブリッククラウドと連携可能。顔認証とパスワード入力の2要素認証によるログオンサービスなども提供する。（2019/9/5）

RPAの特権ID“放置”を防止　IT運用の新自動化ソリューション
NTTテクノクロスは、操作自動化ソリューション「ACTCenter Secure Automation」の販売を10月1日に開始する。RPAなどの自動化ツールに、特権IDのパスワードを安全に払い出す。（2019/9/4）

脆弱なIoT機器への「偵察行為」激化　正体不明のスキャンシステムが多数存在
安易なパスワードが設定されていたり、脆弱性が存在したりする状態のIoT機器を探し出す「偵察行為」が激化。横浜国立大学大学院の吉岡克成准教授によると、世の中には、実態が分からないスキャンシステムも存在するという。（2019/8/30）

Windows 10 The Latest：
パスワード地獄を解消？　Windows 10の「パスワードなしサインイン」を試してみた
Windows 10 May 2019 Updateで対応した「パスワードなしサインイン」とはどういった機能なのだろうか。実際に設定して使い勝手を検証してみた。その結果、設定などに幾つかの注意点があった。（2019/8/30）

Gartner Insights Pickup（121）：
セキュリティ向上に効果的なパスワードレス認証の導入を検討する時期が来た
パスワードを使わないユーザー認証が、ようやく現実的な手段として考えられるようになってきた。Gartnerは2022年までに、グローバル大企業の60％と中堅企業の90％が、ユースケース全体の50％以上で、パスワードレス認証を実装するようになると予想している。（2019/8/23）

政府が市民監視に利用か、主要ブラウザがカザフスタンの証明書をブロック
カザフスタンでは政府の発行した証明書のインストールが義務付けられ、ユーザーの入力した内容やパスワードなどを政府が傍受していると伝えられた。（2019/8/22）

5カ月間にわたる不正アクセスの疑い
Citrixが「パスワードスプレー攻撃」で不正アクセス被害　なぜ防げなかった？
Citrix Systemsのシステムが「パスワードスプレー攻撃」を仕掛けられて不正アクセスされた。盗まれたのは一部のビジネスドキュメントのみだったとみられるが、どうすれば防ぐことができたのだろうか。（2019/8/22）

「Password Checkup」ユーザーの1.5％は流出パスワードを利用──Google調べ
Googleが2月に公開した「Password Checkup」は、流出済みパスワードでログインしようとすると警告するChrome拡張機能。最初の1カ月でスキャンしたパスワードの1.5％が流出済みだった。警告されたユーザーの26％がより安全なパスワードに変更した。（2019/8/16）

2015年のアカウント流出に関する新情報
「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か
2015年に不正アクセスの被害を受けた「Slack」の提供元が、この事件に関して新情報が得られたと発表した。その結果、特定の条件に合致するアカウントのパスワードをリセットする対策を講じた。（2019/8/14）

800人のパスワード管理とID管理を最適化
20の業務アプリの活用を安全で便利に──SSOとLDAPの連携を実現した高田製薬
利便性を落とさず安全なパスワード運用を実現したい、ID管理の負荷を減らしたい――800人以上の従業員を擁する高田製薬は、これらの課題を一気に解決し、クラウド活用など攻めのITに必要な土壌を築き上げた。その方法は。（2019/8/30）

IT用語解説系マンガ：食べ超（168）：
ソーシャルエンジニアリングで“なれる”タイプの社長です
電話でパスワードを聞きだす技術、身に付ければ一生ものですね。※皆さんご存じかとは思いますが、本作はフィクションです。（2019/8/7）

プレミアムコンテンツ：
iPhoneが火を付けた「パスワードがない未来」を実現するには？
いまだに使われ続けるID／パスワード認証。その呪縛から解放される時は本当に来るのか。生体認証や2要素認証の動向から、未来を占う。（2019/8/2）

7iDのパスワード再設定で「残高消えた」報告相次ぐ　セブン＆アイは不具合を否定、ユーザーの誤解か
「7iD」のパスワード一斉リセットに伴ってパスワードを再設定したユーザーの一部から「アカウントの残高が消えた」「再設定のメールが届かない」と報告があるが、セブン＆アイ・ホールディングスはシステム障害ではないと説明している。（2019/7/31）

7payパスワードリセットで残高が消える？→セブン広報「消えません」　SNS上のウワサを否定
困ったらカスタマーセンターに連絡を。（2019/7/31）

7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」　7iDパスワードを一斉リセット
セブン&アイ・ホールディングスは、7月30日に7iDのパスワードを一斉にリセットした。不正アクセスを受けた「7pay」のセキュリティ対策のため。同社によると、不正アクセスの原因は、リストが攻撃の可能性が高いという。（2019/7/30）

セブン、「7iD」のパスワードを一斉リセット　7payの不正ログイン被害受け
セブン＆アイ・ホールディングスが「7iD」のパスワードを一斉にリセット。7payでの不正ログイン被害を受けた措置で、利用者はパスワードを再設定する必要がある。（2019/7/30）

セブン、「7iD」全ユーザーのパスワードをリセット　セキュリティ強化の一環で
パスワードの設定条件も変更。（2019/7/30）

認証方法は「IDとパスワードのみ」が7割超　ネットサービス事業者の甘さ露呈
7payの不正利用が発覚する直前のタイミングで、フィッシング対策協議会が「インターネットサービス提供事業者に対する『認証方法』に関するアンケート調査結果報告書」を出した。（2019/7/29）

ドコモ吉澤社長、dアカウントへの「不正ログイン試行」増加に言及　「海外からのリスト型攻撃が増えた」「ID・パスワードを見直して」
悪意ある第三者が「dアカウント」への不正ログインを試みる例が増えている。NTTドコモの吉澤和弘社長が、7月26日に開いた決算会見でこの問題に言及。「海外からのリスト型攻撃が非常に増えている」「お客さまにはIDとパスワードを見直してほしい」と注意を喚起した。（2019/7/26）

鈴木淳也の「Windowsフロントライン」：
2020年、Microsoftが目指すパスワードレスの旅
ちまたでは「7pay」にまつわる一連の騒動が報じられているが、Microsoftも2020年春に予定されているWindows 10の大型アップデートで「パスワードレス」のオプションを追加する見込みだ。（2019/7/26）

“パスワード入力専用”のUSB入力デバイス「クレイジースモールパスワードロム240」
cooyou.orgは、パスワード入力に特化したUSB入力デバイス「クレイジースモールパスワードロム240」の販売を開始した。（2019/7/24）

ブックオフオンライン、「身に覚えのないパスワード再設定のメール」に注意喚起　4万件以上配信される
ブックオフオンラインの一部会員に、身に覚えのないパスワード再設定メールが届いている。第三者がパスワード再設定画面から機械的に大量のメールアドレスを入力していたことが原因。23日午後1時までに、4万4505件のメールが配信された。（2019/7/24）

その知識、ホントに正しい？ Windowsにまつわる都市伝説（140）：
Windows 10の「パスワード期限切れポリシー」は廃止なんかされていない！
2019年6月初め、Windows 10で「パスワードの期限切れポリシー」が廃止されたというニュースメディアの記事を見ました。「そもそも、そんな名前のポリシーあったっけ？」と一瞬思いましたが、記事の内容を読んで、どういうことかすぐに了解しました。問題は“記事のタイトルだけ”だったのです。この記事のタイトルでは、多くの読者に誤解を与えてしまうと思います。（2019/7/24）

＠ITセキュリティセミナー：
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「＠ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。（2019/7/24）

ゆうちょ銀行が「ゆうちょ認証アプリ」を配信　ゆうちょダイレクトに生体情報でログイン
ゆうちょ銀行が、自社のネットバンキングの生体認証ログインや送金時のPINコード認証を行うためのアプリを公開。指紋または顔で認証することで、パスワードや合言葉の入力を省略できるようになる。（2019/7/22）

Slackのパスワード流出を確認、一部アカウントでリセット措置
2015年の不正アクセスにより、ユーザーがパスワードを入力する際に、攻撃者が暗号化されていない状態のパスワードを入手できるコードが埋め込まれていた。（2019/7/19）

Slack、ユーザーの約1％のパスワードをリセット　再設定をメールで呼び掛け
Slackが、2015年の不正アクセス後にパスワードを変更せず、2要素認証を適用していないユーザー（ユーザー全体の約1％）のパスワードをリセットした。一部ユーザーに再度不正アクセスがあったため、予防措置として実施した。対象ユーザーにはメールでパスワード新設定を呼び掛けた。（2019/7/19）

サンドボックスも安価に導入
パスワード付きZIPファイルが危ない　今増えている標的型攻撃、その対策は
データの受け渡しに際して、ZIP暗号化したファイルとパスワードを別々に送信すれば安全と考えている人は多い。しかし、最近では、この「暗号化ZIP」を利用した攻撃も増加している。このように巧妙化するメール型攻撃に有効な対策とは？（2019/7/17）

Chatworkに「不正ログインの試行」相次ぐ　提供元が「二段階認証を使って」と注意喚起
第三者が「Chatwork」への不正ログインを試みる例が増えていることが発覚。外部からユーザーのメールアドレスやパスワードを不正に取得し、ログインできるか否かを試している可能性が高いという。同社はユーザーに、二段階認証を利用するよう呼び掛けている。（2019/7/12）

パスワードはもはや時代遅れ：
MicrosoftがAzure ADで「FIDO2」対応、パブリックプレビュー開始
Microsoftは「Azure Active Directory」（Azure AD）で、「FIDO2」セキュリティキーのサポート機能のパブリックプレビュー版の提供を開始した。パスワードレス認証がまた一歩前進した形だ。（2019/7/12）

7pay不正容疑者「7、8人の名義使った」
「7pay」の不正使用事件で、警視庁新宿署に詐欺未遂容疑で逮捕された中国籍の張升（ジャンション）容疑者（22）＝住所、職業不詳＝が「7、8人の名義のIDとパスワードを使った」と供述していることが5日、同署への取材で分かった。（2019/7/8）

ホワイトペーパー：
Computer Weekly日本語版：RPA導入が成功する冴えたやりかた
特集はRPA導入を阻む存在とその解決方法、パスワードのない世界を実現する条件、IEEE 802.11ax技術解説の後編の3本。他に、初期の5G対応スマートフォンがどのようなものになるかの予測、二要素認証が安全とは言えなくなった現状などの記事をお届けする。（2019/7/5）

7payのパスワード再設定に脆弱性、運営元が対策　「解決していない」との指摘も
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。（2019/7/4）

「7pay」で不正利用の被害、原因は「調査中」　クレカからのチャージを停止
セブン-イレブンのコード決済「7pay」で不正利用が発覚。一部のアカウントが第三者にアクセスされるとユーザーから申告があった。セブン・ペイは、ログインIDやパスワードの管理を注意するよう呼び掛けている。（2019/7/3）

7pay、一部アカウントで不正アクセス確認　IDとパスワードに注意喚起
IDとパスワード、「認証パスワード」の管理に注意を呼び掛けています。（2019/7/3）

「7pay」で不正アクセス被害　「クレカから勝手にチャージされた」報告相次ぐ　運営元はID・パスワード変更を推奨
7月1日にリリースしたモバイル決済サービス「7pay」の一部アカウントが、 第三者による不正アクセスの被害を受けた。Twitter上にも「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いでいる。運営元のセブン・ペイは、簡単なID・パスワードを設定しているユーザーに対し、変更するよう呼び掛けている。（2019/7/3）

弱いパスワードのIoT機器割り出し「NOTICE」、147件に注意喚起　「現時点で数は少ない」
弱いパスワードを使っているIoT機器の所有者に注意喚起する取り組み「NOTICE」の状況を総務省が発表。容易に推測できるID・パスワードでログインでき、注意喚起の対象になったのが延べ147件だったという。同省は「現時点では数は少ない」としている。（2019/7/1）

「楽天株式会社から緊急のご連絡」フィッシングメールに注意喚起
「【重要】楽天株式会社から緊急のご連絡」という件名で、楽天からの連絡を装って楽天IDやパスワードを詐取するフィッシングメールが出回っているとし、日本サイバー犯罪対策センターが6月25日までに、複数回にわたって注意を呼び掛けている。（2019/6/27）

14年間もパスワードを平文で保存していた事案も
G Suiteで判明した2つの「パスワード平文保存」問題　何が起きたのか？
Googleは「G Suite」のパスワードを安全でない状態で保存していた2件の事案を公表した。そのうちの1件では、パスワードを暗号化しない状態で14年間も保存していたという。（2019/6/24）