最新記事一覧
能動的サイバー防御は「官民連携の強化」「通信情報の活用」「アクセス・無害化措置」の3つの柱で整理できる。これらは、平時からサイバー攻撃が行われている現状に対し、国全体での対応能力を底上げするための施策だ。
()
メールのワンタイムパスワード(OTP)なら安全という常識は崩れつつある。リアルタイムフィッシングの脅威に対し、MIXIはどう動いたのか。「パスキー」活用の実像に迫る。
()
多くの組織で非人間アイデンティティーの数が人間のユーザーを大幅に上回る中、その管理が課題となっている。HashiCorpは公式ブログで、従来の静的シークレットの管理から「ワークロードアイデンティティー(ID)」への移行が必要だとの見解を示した。
()
USBメモリ作成ツール「Rufus」の4.11以前に、競合状態を利用した権限昇格の脆弱性が確認された。悪用されると、一時ファイルを介して管理者権限で任意のコードを実行される恐れがある。
()
サイバー攻撃の主戦場は、もはや電子メールでも脆弱性でもない――。攻撃者は“正規ユーザー”を装い、誰にも気付かれず内部に入り込む時代へと移行している。なぜアイデンティティーが狙われるのか。その変化の裏側と、次に起きるリスクの正体に迫る。
()
証券各社が導入している「パスキー」だが、完全移行までの道のりは長そうだ……。
()
オンライン証券口座の大規模な乗っ取り事件を境にBtoCサービスは“認証の在り方”を再考せざるを得なくなった。高まる脅威と複雑化する認証、企業が抱える「開発しても報われない」ジレンマ──その行き詰まりをどう突破すればいいのか。
()
MFAやパスキー導入が進む中、「ログインできない」といった混乱はITの現場で見られる光景だ。認証技術の進化とその現実から、安全と利便性のバランスを取るための検討軸を紹介する。
()
日常的に扱うIT用語の中で、“実は読み方を曖昧に記憶している”ものはないだろうか。本稿は、そのような用語を19語選出し、6つのカテゴリに分類して紹介する。
()
パスワードレスを実現するセキュリティ仕様として注目を集めている「パスキー」の導入が急ピッチで進んでいる。一方で、過渡期ゆえにユーザー体験(UX)には課題もある。アライアンスのボードメンバーとして早くからFIDOの認証を導入してきたドコモもその1社で、現状ではアプリによる認証とパスキー認証、さらには回線認証が混在している。
()
セキュリティSaaSを手掛けるAikido Securityは、npmパッケージを標的とした自己複製型ワーム「Shai Hulud」による2回目の大規模サプライチェーン攻撃を観測したと発表した。
()
テレワークを背景にクラウドサービスの利用が広がったとともに、それぞれにログインするためのパスワード管理も難しくなった。そもそもパスワードは安全な認証手法なのか。
()
連載「セキュリティリーダーの視座」第1回は、認証分野で先頭を走るメルカリ CISO 市原尚久氏である。住基カードに搭載したセキュアなICチップOSの開発や日本初のFIDO導入プロジェクトを推進した経験を持つ同氏は、豊富な知識と広い視野を武器にメルカリのセキュリティを牽引する。
()
認証情報の不正使用は重大な事件につながる。三菱電機は過去のインシデントの教訓からMFAの導入に踏み切る際、スマートフォンによる認証ではなく、物理的なセキュリティキー「YubiKey」を選んだ。その理由とは。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、11月9日週を中心に公開された主なニュースを一気にチェックしましょう!
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、11月2日週を中心に公開された主なニュースを一気にチェックしましょう!
()
パスワードに代わる安全な認証手段として注目を集めているパスキー。普及が期待されているこの技術は本当に素晴らしいものですが、そこにはあるリスクが存在します。「X」が発表した“要請”からそれをひもときましょう。
()
Microsoftは、米国の教育機関などを中心に発生している“給与抜き取り型サイバー攻撃”を確認したと発表した。
()
Googleの脅威インテリジェンスグループは、「UNC6040」として追跡している脅威アクターによる、高度なソーシャルエンジニアリング攻撃や認証情報の侵害から組織を守るための予防策を解説する記事を公開した。
()
Mandiantはサイバー攻撃グループ「UNC6040」によるSalesforce環境を標的とした攻撃の詳細を公表した。Salesforceの「Data Loader」を模倣した不正なアプリを使って、従業員を恐喝し、情報を窃取するという。
()
フィッシング対策として有効だとみられていた、多要素認証をも突破する「リアルタイムフィッシング」。その驚異の手口とは。有効な対策として「パスキー認証」に期待が集まる理由と、その仕組みや導入方法とは。
()
厄介なパスワード認証から脱却する「パスワードレス認証」。「生体認証」「FIDO2準拠のセキュリティキー認証」「スマートフォン認証」の3大方式から、最適な選択肢を見極める実践的な選定指針を解説する。
()
2025年8月26日、ITmedia Security Week 2025 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「この設計、抜ける。―不正ログイン実行者が狙う“緩いポイント”―」と題して講演した。
()
Slackを装う招待で「Okta FastPass」の利用を禁じる手口が確認された。フィッシング耐性のある認証をポリシーで強制することの重要性が浮き彫りになった。
()
巧妙化する攻撃からアカウントを守るには、認証要素の強弱を押さえた上で多要素認証(MFA)を設計することが重要だ。MFAの主要認証要素の比較や、フィッシング耐性のあるMFAについて解説する。
()
世間を大きく騒がせたオンライン証券会社に対する不正アクセス/不正取引被害。各社は対策に動くとともに、被害者に対する金銭補償を発表しました。ただ、その割合が問題で……。今回は補償の妥当性と個人が取るべき対策を考えていきます。
()
Googleは、VMware vSphere環境を標的とした高度なソーシャルエンジニアリング攻撃を確認した。この攻撃は最近活発化している脅威アクター「Scattered Spider」によるものとされており、他の攻撃グループにも手法が波及する可能性があるという。
()
パスワードに依存しない認証機能の一つにMicrosoftの「Windows Hello for Business」がある。その活用に当たって押さえておくべきデプロイモデルや信頼モデルの違いとは。
()
「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。今回は、パスワードだけに頼らない、より強固な認証手段として注目されている「多要素認証」について解説します。
()
パスワードに依存しない認証を実現する機能としてMicrosoftの「Windows Hello」がある。企業が利用する場合に、インフラやライセンス面で準備すべき点を押さえておこう。
()
公共サービスを提供する英国政府のWebサイト「GOV.UK」に、全面的にパスキー認証が実装されるとの計画が発表された。英国政府の狙いと、世界的に脱パスワードが進む理由を解説する。
()
dアカウントはドコモ回線と密接にひも付いていることで、使い勝手を悪くしている。ドコモで複数回線を契約している場合、dアカウントも個別に作成されるので、ユーザーはどの回線でどのアカウントを使っているかを把握する必要がある。ドコモは、2026年度末をめどにこの仕様を改善し、複数回線で1アカウントを利用できるようにする予定。
()
Fortinetは、従来セキュリティの要と考えられてきたパスワードがもはや単体では十分な防壁を形成し得ないと主張した。企業はパスワードに依存したセキュリティ対策から脱する必要があるが、具体的にはどのような対策を講じればいいのか。
()
Metaは、Facebookアプリが間もなく「パスキー」に対応すると発表した。iOSとAndroidで先行導入され、数カ月以内にMessengerでも対応予定。既存のパスワードも引き続き利用できる。
()
住信SBIネット銀行がdアカウントとの連携を義務化したことで、ユーザーから「連携なら解約する」との強い反発が起きている。背景にある拒否感の理由と波紋の広がりを探る。
()
「ChatGPT」といった生成AI(人工知能)ツールによってフィッシングメールが進化している。エンドユーザーも腕を磨き上げて、攻撃者のわなにはまらないようにするには。
()
従業員の認証情報が流出すれば、重大な攻撃につながる恐れがある。特に人工知能(AI)技術の悪用が広がる中、認証の安全性を高めるには。
()
メルカリは5月8日、フリマアプリ「メルカリ」における「パスキー」登録者数が累計1000万人を超えたと発表した。「フィッシングによる不正利用は確認されていない」という。
()
4月23日から25日まで、東京ビッグサイト(東京都江東区)で「Japan IT Week 春 2025」が開催された。基本的には産業(B2B)向けの展示が多いが、ミニPCを始めとしてコンシューマーにもピッタリな製品の展示もある。
()
Google Cloud傘下のMandiantは、最新の脅威レポート「M-Trends 2025」を発表した。国家支援型の高度な攻撃手法や情報窃取型マルウェアの拡大など、脅威アクターの動向を調査し、組織がやるべき9つの防御策を提示している。
()
TechTargetは2025年3月17日、「REST API認証のの基本戦略」に関する記事を公開した。REST API認証に効果の高いアプローチを採用すれば、ユーザーとそのデータを保護しつつ、システム間でのスムーズなデータ交換が可能になる。
()
Barracuda Networksは2025年1〜2月にかけてPhaaSによるフィッシング攻撃が100万件以上発生し、その複雑さと回避能力が増していると報告した。特に攻撃者が使用している3つの著名なPhaaSの機能を解説しよう。
()
「北尾吉孝のLINEを無料で追加して明日の優良株を受け取ろう」――SBI証券会長の北尾吉孝氏の名前をかたり、投資情報のLINEグループ参加を勧誘するフィッシングメールが出回っているとし、同社が注意を呼び掛けている。
()
パスワードを使わずにログインができる認証手法「パスキー」が使えるWebサイトが増えている。どのサービスやWebサイトで使えるのか。代表的な例を紹介する。
()
パスワードを使わずにサービスにログインできる認証手法としてパスキーが注目されている。パスキーはセキュリティだけではなく、ビジネスの観点でも利点が見込める。何が期待できるのか。
()
セキュリティを強化しつつユーザー体験(UX)を損なわない認証の仕組みを作るにはどうすればいいのか。認証手法としてパスワードをやめて「パスキー」に移行するメリットとは。
()
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。
()
Google Password Manager(GPM)がiOSと連携し、Google Chromeで利用されるパスキーがiOSでも同期可能になった。これによって、異なるプラットフォーム間での利用制限が解消され利便性の向上が期待できる。
()
パスワードによる認証は広く普及しているものの、利便性の観点からユーザーと情シスに負担がかかっている。これを脱却するには人間の根本に潜む“面倒くささ”をいかに解消するかが重要だ。本稿で適切な代替手段を紹介する。
()