現代社会において、サイバー攻撃は事業継続を脅かす最も深刻なリスクの一つとなっています。攻撃手口は年々巧妙化し、従来の防御策だけでは対応が困難になりつつあります。本レポートは、現代のサイバー攻撃の動向を分析し、現行の防御アプローチの限界を明らかにすると共に、次世代認証技術「FIDO2/パスキー」を中核とした、より強固な防御戦略を提言するものです。

パスキーは、認証セキュリティにおける画期的な進歩を象徴するものであり、数十年にわたる課題であったクレデンシャルフィッシングの問題を、堅牢な暗号設計によって効果的に解決する。しかし、この進歩はアイデンティティに対する脅威を根絶するものではなく、攻撃対象領域（アタックサーフェス）を認証イベントそのものから、認証後のセッションおよびユーザーのエンドポイントデバイスへと根本的にシフトさせるものである。 この新しい脅威ランドスケープにおいて、主要な攻撃ベクトルはパスキーの秘密鍵の窃取ではなく、デバイス自体の侵害である。特に情報窃取型マルウェア（インフォスティーラー）を介した攻撃が深刻化しており、攻撃者はユーザーが正規の認証を完了した後に発行されるセッションクッキーやトークンを窃取する。これにより、パスキー認証プロセスを完全に迂回し、正規ユーザーになりすましてアカウントを乗っ取ることが可能となる。

先日、YubiOnの新しいサービス、「YubiOn FIDO2 Server Service」がリリースされました。これは主に開発者・開発ベンダー向けのサービスで、自社が提供するサービスなどに簡単にFIDO認証（パスキー認証）を導入するためのサービスとなっています。本来、F...

本サービスは、FIDOアライアンスの公式認定を取得したサーバー（認定日: 2019年3月11日）を基盤としており、直感的な管理画面と開発者フレンドリーなAPI・SDKを提供することで、これまでパスキー対応に技術的・コスト的なハードルを感じていた事業者様でも、自社サービスへ世界標準に準拠したフィッシング耐性の高い次世代認証を容易に導入できるよう支援します。

よく耳にするフィッシング詐欺ってどんなもの？基本的な知識から、具体的な手口、そして最も重要なフィッシング対策について、最新情報を含めて詳しく解説します。

YubiOn FIDO Logonは「企業向け認証器」の新機能のアップデートを行いました。 どのような機能なのか、何ができるようになったのかについて、実際の動作を踏まえてご紹介いたします。

PCのログオンを多要素認証化する「YubiOn FIDO Logon」において、FIDO2シナリオの追加メカニズムであるEnterprise Attestation機能を2025年2月6日より対応開始しました。

本日、YubiOn FIDO Logonの新しいバージョン（3.1.0.1）をリリースいたしました。今までのバージョンでは、FIDO認証器の登録は設定ツール、管理WEBから行う必要がありましたが、今回のリリースでは新たにログオン時にFIDO認証器を登録する方法が追加されまし...

みなさんはフィッシング攻撃による認証情報の盗難対策ができているでしょうか？ IPAが公開している「 情報セキュリティ10大脅威 2024 」の個人向け脅威として6年連続でランクインしているのが「フィッシングによる個人情報等の詐取」です。フィッシングを簡単に説明すると、URL...

本日、YubiOn FIDO Logonの新しいバージョンをリリースいたしました。昨年9月のスマートフォンによるログオンのアップデート以来となるメジャーアップデートとなります。今回のアップデートで、リモートデスクトップ時のパスキー認証が出来るようになりました！

先日、JAXA（宇宙航空研究開発機構）は、昨年から今年にかけて複数回のサイバー攻撃を受け、機密情報が漏えいした可能性があることを発表しました。外部からの不正なアクセスを受けて内部のサーバーへの攻撃対象となったサーバーには、役職員や派遣職員の個人情報約5,000件が保存されて...

YubiKeyのファームウェアアップデートでバージョン5.7が登場しました。いくつか機能が追加されているので、どんなことができるのか実際に触りながら試してみます。

「第33回 Japan IT Week 春」にFIDOアライアンスメンバー企業として出展します ・第33回 Japan IT Week 春 ・2024年4月24(水)～26日(金) ・10:00～18:00（最終日のみ17:00終了） ・東京ビッグサイト

みなさまはパスワードでのログインに不満を感じたことはありませんか？長く複雑なパスワードを毎回入力するのが面倒。利用するサービスが増えるごとに、覚えるべきパスワードが増えていく。パスワードがなくなれば良いのに、と。 最近、各社サービスで採用されつつあるパスワードに代わる新しい...

様々なFIDO認証セキュリティキーでPCのログオンを強化できる「YubiOn FIDO Logon」において、スマートフォンによるパスキー認証を用いたPCログオンに2023年9月7日付けで対応したことを発表します

本日、YubiOn FIDO Logonの新しいバージョンをリリースいたしました。YubiOn FIDO Logonも2021年5月のリリース以来、様々なアップデートを行ってきましたが、今回は初のメジャーアップデートとなります。...

先日（2023/06/22）、マイクロソフトがWindows11のInsider Preview（Devチャンネル）でパスキー機能の実装を公開しました。 Announcing Windows 11 Insider Preview Build 23486 | Windows...

「YubiOnセキュリティ認証サービス」パスワードレスの世界を誰でも簡単に実現できる「YubiOn FIDO Logon」クラウドサービスを2021年5月より提供開始しています。今回、様々なFIDO認証セキュリティキーでPCのログインを強化できる「YubiOn FIDO Logo

パスワードに変わる認証、パスキー(Passkeys)を実際に使ってみます。認証デバイスがなくてもスマホがあれば使えるため、お手軽にセキュリティ強度を高めることができます。

前編では「広い意味での」パスキー、元々WebAuthnと呼ばれていた仕組みの紹介を行いました。今回は「狭い意味での」パスキーについて説明していこうと思います。下の図の「？」の部分の話になります。 （クリックで拡大します） ■秘密の隠し場所と、それに伴う問題点...

昨今、IT関連のニュースなどで「パスキー」「Passkeys」などといった単語を見かけるようになりました。セキュリティ界隈では割と盛り上がっている話なのですが、なかなか一般の方にはよくわからない話なのではないかと思います。実は私自身も正直全貌を把握しているとは言いがたいので...