GoogleなどのFIDO対応認証キーに脆弱性 - iOSでは特に注意を

今回の問題を受け、GoogleやFeitian Technologiesでは交換プログラムを開始。国内で「MultiPass FIDO Security Key」を展開する飛天ジャパンも、Feitian Technologiesに交換品の手配を進めており、購入者に対してはメールで連絡を取るとしている。

各社は、脆弱性の悪用には条件があり、フィッシング対策には引き続き有効であることから、2要素認証を中止したり、SMSなどを利用した2要素認証を利用するより、交換品が到着するまでの間も同製品を引き続き利用した方が安全性は高いと説明。

9メートル以内に人がいない環境で利用し、ログイン後はペアリングを解除するといった緩和策を案内。冷静な対応を呼びかけている。

ただし、「iOS」に関しては、5月13日にリリースされた「iOS 12.3」にアップデートすると、交換前のキーは利用できなくなると説明。サインインができなくなるため、注意を呼びかけている。

（Security NEXT - 2019/05/20 ） ツイート

PR

関連記事

エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
サーバ製品「HPE Cray XD670」の管理ソフトに深刻な脆弱性
「Apache Tomcat」の脆弱性攻撃が発生 - 「WAF」回避のおそれも
図書館管理システム「Koha」に複数脆弱性 - アップデートで修正
PerconaのDB管理ツールに深刻な脆弱性 - 更新と侵害有無の確認を
「Microsoft Edge」にアップデート - Chromiumの脆弱性修正を反映
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
「PHP」に複数脆弱性 - セキュリティアップデートがリリース
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正
サポート終了した「Bitdefender BOX v1」のアップデート機能に脆弱性