グーグルが政府系ハッカーに狙われている「高リスク」ユーザーにセキュリティキーを無償提供

数日前に国家ぐるみのハッカーに狙われていることを何千人というGmailユーザーに警告したGoogle(グーグル)は「高リスク」のユーザー1万人にハードウェアセキュリティキーを無償で提供すると発表した。

この警告はGoogleのThreat Analysis Group(TAG)が送信したもので、1万4000人超のGmailユーザーに対して、ロシアの情報機関GRUの工作員で構成されているといわれるAPT28(別名Fancy Bear)による国家主導のフィッシングキャンペーンの標的になっていると注意を促した。Fancy Bearは10年以上前から活動しているが、米民主党全国委員会へのハッキングや、2016年の米国大統領選挙での偽情報拡散や選挙へ影響を与えるキャンペーンを行っていたことで広く知られている。

「これらの警告は、妥協ではなくターゲティングを示しています。あなたに警告する場合、当社が阻止する可能性はかなり高い」。GoogleのTAGディレクターであるShane Huntley(シェーン・ハントリー)氏は米国時間10月7日、Twitterで述べている。「今月の増加している数は、広範囲をターゲッにしたブロックされた少数のキャンペーンによるものです」。

ハントリー氏は、活動家やジャーナリスト、政府関係者などの個人にとっては、こうした警告は普通のことだと付け加えたが、それは政府が支援するハッカーがターゲットにしているからだ。「活動家、ジャーナリスト、政府関係者、あるいは国家安全保関連の仕事をしている人にとって、この警告は正直、驚くべきことではありません。政府の支援を受けたハッカーが、ある時点であなたに何かを送ろうとするでしょう」と彼はいう。

Googleはブログで、2021年中にセキュリティキーを送付し、標的型オンライン攻撃の危険性がある可視性の高い機密情報を持つユーザーを保護するAdvanced Protection Program(APP)への登録を促すと述べた。セキュリティキーは、正規のウェブサイト上でのアカウントのロック解除にしか使用できないため、フィッシング攻撃しにくくなる。

関連記事:Googleの高度な保護機能プログラムに対マルウェア保護が加わる

また、Googleは、最もリスクの高いユーザーのセキュリティを強化するために、国際選挙制度財団(IFES)、国連女性機関(UN Women)、非営利団体Defending Digital Campaigns(DDC)との新規および拡張パートナーシップを発表した。

DDCとの提携により、Googleは2020年の米国の選挙期間中、180以上の連邦政府のキャンペーンにTitan Security Keyを提供しており、現在は州レベルのキャンペーンや政党、委員会、関連組織に対して、サイバー攻撃からの保護に関するワークショップやトレーニングなど、さらなる保護を提供するために同組織と協力していると述べた。

画像クレジット:Veanne Cao / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

Googleが2要素認証で利用するTitanセキュリティキーのラインアップ簡素化、Bluetooth版廃止・NFC対応USB-C版追加

グーグルが2要素認証で利用するTitanセキュリティキーのラインアップ簡素化、Bluetooth版廃止・NFC対応USB-C版追加

Google

Googleが、2要素認証で利用するTitanセキュリティキーのラインアップ簡素化を発表しました。これまであったBluetoothタイプのセキュリティキーが廃止され、USB-AタイプとUSB-Cタイプの2種類のみとなります。

USB-Aタイプは従来と同じものですが、USB-Cタイプは新しくなりNFCに対応。これにより、両モデルともNFCをサポートします。Googleによると、NFCがAndroidやiPhoneで幅広く利用されているため、こちらに重点を置くとのことです。

Googleは2018年にTitanセキュリティキーを発売。Google自身もフィッシング対策として社員向けに導入しており、フィッシング被害が0件になったとしています。

Google、社員へのセキュリティキー導入でフィッシング被害が0件に
Google印のセキュリティキー、Titan Security Key発表。普及のきっかけになるか?

その後、USB-Cタイプも追加され、3タイプが販売されていましたが、このうちBluetoothタイプについては、有力セキュリティキーメーカーのYubicoから「NFCやUSBと同等のセキュリティレベルを満たしていない」と批判されていました。

ちなみに、USB-CポートがあるiPadではUSB-Cのセキュリティキーが利用できますが、Lightningの場合は、Apple純正のLightning to USB Camera AdapterがあるのでUSB-Aタイプの利用を勧めるとのことです。

新しいTitanセキュリティキーは、すでに日本のGoogleストアにもページが用意されています。執筆時点では在庫なしとなっていますが、USB-Cタイプは4500円です。

(Source:Google(1)(2)Engadget日本版より転載)

関連記事
Twitterがセキュリティキーを唯一の2要素認証手段として設定可能になったと発表
TwitterがハードウェアセキュリティキーをiPhoneとAndroidでもサポート
Yubicoが最新セキュリティキー「Yubikey 5C」を発表、価格は約5800円
PC認証などに使うセキュリティキー「YubiKey」を従業員などに直接発送可能に、発送・在庫管理はクラウドで
GoogleはTitanセキュリティキーのUSB-C版を発売へ
Googleが2段階認証キーのTitanセキュリティキーバンドルの日本での販売開始
GoogleがAndroidのセキュリティキー技術をiPhoneやiPadに開放
Facebook、セキュリティーキーを使う安全なログイン手順を提供
GitHubがU2Fセキュリティキーをサポート、より強力な二要素認証を導入

カテゴリー:セキュリティ
タグ:Google / グーグル(企業)セキュリティキー(用語)Yubico(企業)

Twitterがセキュリティキーを唯一の2要素認証手段として設定可能になったと発表

Twitterがセキュリティキーを唯一の2要素認証手段として設定可能になったと発表

Twitter

Twitterは7月1日、セキュリティキーを唯一の2要素認証手段(2FA)として設定可能になったと発表しました。

ここで言うセキュリティキーは、使用者本人であることを証明するためのハードウェアです。アプリやサービス側でこれを使う設定にすると、物理的なデバイスがないと認証できないため、フィッシングや中間者攻撃などに強いという特徴があります。

Twitterのウェブ版では、2018年からセキュリティキーをサポートしており、2020年12月にはモバイルアプリでも対応しています。

さらに2021年3月には、複数のセキュリティキー登録に対応し、デスクトップPCではUSB-Aタイプ、モバイルではUSB-Cタイプなどの使い分けが可能となりました。

Twitter、複数のセキュリティキーを登録可能に

ただ、いずれの場合でも、セキュリティキーが利用できない場合に備えたバックアップ手段として、SMSあるいはアプリによる2要素認証も設定する必要がありました。

これは仕方がないことのようにも思えますが、Twitterに電話番号を教えたくないというユーザーもいるほか、セキュリティキーを使わずとも2要素認証ができてしまうのは、物理的なデバイスが必要というセキュリティキーのメリットを事実上なくしてしまうことにも繋がっていました。

このためTwitterは、3月の時点でセキュリティキーのみの設定も可能にすると予告されていました。今回はそれがようやく実現したわけです。

この設定をした場合、セキュリティキーがなければログインできなくなるので、アカウント乗っ取りなどの被害は防ぎやすくなるものの、当然ながらユーザー自身もセキュリティキーがなければログインできなくなります。

とはいえ、Twitterにログインが必要なのはPCやスマートフォンを新しくした場合などで、利用頻度はかなり低くなっています。

しかし使う必要があるのも確か。使用頻度が低いため、かえってセキュリティキーをどこにしまったかわからなくなる……なんてことがないように注意したいところです。

(Source:TwitterEngadget日本版より転載)

関連記事
TwitterがハードウェアセキュリティキーをiPhoneとAndroidでもサポート
Yubicoが最新セキュリティキー「Yubikey 5C」を発表、価格は約5800円
GoogleアカウントのセキュリティキーとしてiPhoneも使えるように
GoogleはTitanセキュリティキーのUSB-C版を発売へ
普通のAndroidスマホをセキュリティキーにするGoogleの新技術
Facebook、セキュリティーキーを使う安全なログイン手順を提供
GitHubがU2Fセキュリティキーをサポート、より強力な二要素認証を導入

カテゴリー:セキュリティ
タグ:WebAuthn(用語)セキュリティキー(用語)Twitter / ツイッター(企業)FIDO