シングルサインオン(SSO)は、複数のアカウントの認証を集中管理し、ユーザーはひとつのアカウント( ID・パスワード)で、各システムに安全にログインできる。便利ではあるが、リスクがないわけではない。昨夏 Blackhat USA のあるセッションをもとに SSO の脆弱性について改めて考えてみたい。
SSOの認証バイパス、SAML脆弱性発見者本人による解説
シングルサインオン(SSO)は、複数のアカウントの認証を集中管理し、ユーザーはひとつのアカウント(ID・パスワード)で、各システムに安全にログインできるというもの。Blackhat USA 2018のあるセッションをもとにSSOの脆弱性について考えてみたい。
研修・セミナー・カンファレンス
セミナー・イベント
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威ManageEngine ADManager Plus の installServiceWithCredentials 関数における OS コマンドインジェクションの脆弱性(Scan Tech Report)
2023 年 6 月に修正された、Zoho 社の ManageEngine ADManager Plus の脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています。
-
AWSスタッフ、刑務所みたいなオフィスをTikTokで自慢
ローマのパンテオンにも似たドーム構造を持つ、オランダのハールレムにあるケペルゲバンゲニスは、パノプティコンの原理(編集部註:看守からは囚人を監視することができるのに対して、囚人は自分が監視されているかどうかわからない円形構造の監獄)に基づいて監獄として設計された。
-
殺し屋のレンタルサービス 来たのはFBI
殺人請負業者に金を払って気に食わないライバルを消そうと Rentahitman.com を利用したことにより、34 歳の女性が 1 年半の禁固刑に処された。予想できる展開ではあるが、彼女が雇った殺し屋は、FBI 捜査官だった。
-
ネットワーク分断「スプリンターネット」は独裁国家の専売特許か?
国際政治の場でインターネット(サイバー空間)抜きにした議論が成立しなくなっている。市民の生活レベルでもネットはすでに社会秩序の一部である。この状況から「スプリンターネット」の議論はむしろ必然として生まれた。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
ManageEngine ADManager Plus の installServiceWithCredentials 関数における OS コマンドインジェクションの脆弱性(Scan Tech Report)
観光庁が注意喚起、Booking.com 利用者へのフィッシング被害
サイバー攻撃の賠償や保険料要求 ~ NISC 騙る不審な電話に注意喚起
Citrix ADCおよびCitrix Gatewayに情報漏えいの脆弱性、悪用する攻撃を確認
Apache ActiveMQに遠隔コード実行の脆弱性、リコー製品に影響
LuxCal Web Calendar に複数の脆弱性
インシデント・事故 記事一覧へ
中津市民病院にランサムウェア攻撃、取引先情報が流出した可能性
カー用品取り扱い「エンラージ商事オフィシャルショップ」に不正アクセス、2,432名のカード情報が漏えいした可能性
日本学術振興会が利用するProselfに不正アクセス、運用管理方法の見直しと情報セキュリティポリシーを改定
東海大学教員がリモート個別面談申込情報を誤掲載、システムからの通知メールで 6 日間 閲覧可に
ヤマハ発動機のフィリピン子会社にランサムウェア攻撃、社員情報の一部流出確認
NTTマーケティングアクトProCX 元派遣社員 顧客情報不正持ち出し、「オージオ」「なちゅライフ」「リフレ」でのカード情報の漏えいを確認
調査・レポート・白書・ガイドライン 記事一覧へ
代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析
EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証
ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証
セキュリティの仕事24職種紹介「サイバーセキュリティ仕事ファイル」合本版
日経225企業の7割がDMARC導入、金融機関の増加顕著 ~ TwoFive調査
正社員は派遣社員の倍 ~ 業務で扱う個人情報悪用「考えたことある」
研修・セミナー・カンファレンス 記事一覧へ
「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定
サイバー脅威インテリジェンスの未来 5つの傾向
「GMOサイバーセキュリティカンファレンス IERAE DAYS 2023」開催
LINEヤフー社 Digital Crime Unit の取り組みほか ~ フィッシング対策セミナー講演資料 5 本公開
ネットワーク分断「スプリンターネット」は独裁国家の専売特許か?
Web API 診断内製化、エーアイセキュリティラボ 執行役員 関根氏が解説
製品・サービス・業界動向 記事一覧へ
Mandiant のインテリジェンス採用「IIJ アタックサーフェスアセスメントソリューション」
脆弱性診断自動化ツール「AeyeScan」アップデート、サブアカウント管理機能拡充
ALSI が脅威インテリジェンス参入、2024年4月「InterSafe Threat Intelligence Platform」提供開始
脆弱性診断自動化ツール「AeyeScan」アップデート、APIスキャンで json 形式の body 数値が文字列に変換される問題を修正
GSX が BBSec の株式追加取得、持分法適用会社に
サイバーセキュリティ「総務大臣奨励賞」募集開始、自薦または他薦 12/21 まで受付
おしらせ 記事一覧へ
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43244.jpg)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
