本日は、パスワードレス認証のパスキーやCiscoのSplunk買収に関する話を取り上げます。

---

①1Passwordがパスキー対応　ChromeなどのWebブラウザとiOSで提供【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2309/24/news019.html

おじさんから一言：パスワードレス認証について昨年末頃にFIDO2の話題が盛り上がっていましたが、最近は「パスキー」と呼ぶのが一般的なのかな？ いずれにせよパスワードを使わず、別の方法で認証する仕組みになります。未来が来てる感じしますね！

最近もパスワードの使い回しをしている人が尋常じゃないほどいる！という記事も出ていましたが、パスワードで認証するのがもう限界なのは間違いないので早く普及してほしいです。

---

②CiscoによるSplunk買収、背景にあるもの【@IT】
https://atmarkit.itmedia.co.jp/ait/articles/2309/27/news095.html

おじさんから一言：Ciscoには生成AIを扱っているイメージがないので、この機会に大量データの知見のあるSplunkを抱えて勝負に出ようということなのかな？ 後発組として果たして食い込めるのや否や。

Splunkは当研究所でも使っているので、便利になる分には大歓迎です！ 間違っても無料枠なしにするとかは止めてね？

本日は、研究段階のパスワードクラック手法や詐欺メールで悪用されたドメインに関する話を取り上げます。

---

①スマホからWi-Fiで送信されたパスワードを盗聴、暗号解読不要の恐るべき手法【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00676/091500149/

おじさんから一言：キー配置が明確な数字の入力であればかなりの精度で盗聴できるということのようですが、日本語のフリック入力だったり隣接キーとの距離が近いQWERTY配列でも行けるのかは気になるところですね。さすがに数字のみのパスワードを使っている人なんていないとは思いますが、英大文字・小文字・数字・記号を混在させ、桁数を増やすことはこの手法の対策としても有効そうですね。また、パスワードマネージャーを使っていれば、そもそもパスワードを手入力しないので対策になると思います。

---

②2023年上半期フィッシングサイト ドメイン集計【Digital Arts】
https://www.daj.jp/security_reports/33/

おじさんから一言：昨年よく見たicuドメインは、たしかに最近見なくなりましたね。値上がりしたのかな？ それとも管理が厳しくなった？ com, top, co, shopあたりは引き続き悪用されているようなので気をつけましょう。cn（Chinaの国ドメイン） や ru（Russiaの国ドメイン） は基本的にダウトでよろしいかと。独自ドメイントップ20はよく悪用されてしまう正規サービスということだと思いますが、安易に通信ブロックすると利便性を損なう可能性がありますので、組織内で意識合わせしてからブロックした方が良いと思います。

ちょうど４年前ぐらいに米国ではOTセキュリティに火が付き始めていましたが、日本でもそろそろ盛り上がり始めているようです。最近の記事をまとめてみました。

---

①標準から学ぶICSセキュリティ【JPCERT/CC】
https://www.jpcert.or.jp/ics/information07.html

②スマート工場化でのシステムセキュリティ対策事例 調査報告書【IPA】
https://www.ipa.go.jp/security/controlsystem/securityreport-smartfactory-2023.html

③産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴【Internet Watch】
https://internet.watch.impress.co.jp/docs/column/security/1528348.html

④OTセキュリティリスク可視化サービス OsecT、リニューアルしました【NTTコミュニケーションズ 開発者ブログ】
https://engineers.ntt.com/entry/2023/08/31/100633

---

【関連用語】

• OT：Operational Technology（社会インフラのハードウェアを制御・運用する技術）
• ICS：Industrial Control System（産業用制御システム）

本日は、パスワードの使い回しの実態やガバメントクラウドの選考基準緩和、乗っ取られた正規サイトに関する話を取り上げます。

---

①パスワードの利用実態調査2023、8割以上が使い回し【マイナビTECH+】
https://news.mynavi.jp/techplus/article/20230901-2762626/

おじさんから一言：6種類以上を良しとしても、5種類以下のパスワードの使い回しが7割以上ですか…。 せめてどこのサイトでどのパスワードを使っているかは管理しておいてくださいね。事故の際にリカバリできるよう。

---

②デジタル庁がガバメントクラウドの選考基準を一部緩和へ、国産ベンダー参入に光明【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/15854/

おじさんから一言：安全保障上、正しい方向であろうと思います。国産ベンダーには「なんちゃってクラウド」から脱却して頑張ってほしいところですが、どこが一番可能性高いんでしょうね？？ 以下のあたりが候補になりそうだけど、果たして食い込めるのや否や。

昨年6月の記事でも大事なことを伝えられていますね。
「今さら国産クラウドの育成」、自民党と経産省は何を考えているのか【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00166/053000103/

---

③ハッキングされたWebサイトを見破る方法【kasperskyブログ】
https://blog.kaspersky.co.jp/how-to-spot-phishing-on-a-hacked-wordpress-website/34535/

おじさんから一言：最近の詐欺メールに登場するURLは、あからさまに悪性と判断がつかないようなものも増えてきています。こちらの記事のように正規サイトが乗っ取られて悪用されているケースも多々ありますのでご注意ください。