GoogleなどのFIDO対応認証キーに脆弱性 - iOSでは特に注意を

今回の問題を受け、GoogleやFeitian Technologiesでは交換プログラムを開始。国内で「MultiPass FIDO Security Key」を展開する飛天ジャパンも、Feitian Technologiesに交換品の手配を進めており、購入者に対してはメールで連絡を取るとしている。

各社は、脆弱性の悪用には条件があり、フィッシング対策には引き続き有効であることから、2要素認証を中止したり、SMSなどを利用した2要素認証を利用するより、交換品が到着するまでの間も同製品を引き続き利用した方が安全性は高いと説明。

9メートル以内に人がいない環境で利用し、ログイン後はペアリングを解除するといった緩和策を案内。冷静な対応を呼びかけている。

ただし、「iOS」に関しては、5月13日にリリースされた「iOS 12.3」にアップデートすると、交換前のキーは利用できなくなると説明。サインインができなくなるため、注意を呼びかけている。

（Security NEXT - 2019/05/20 ） ツイート

PR

関連記事

国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「PAN-OS」の脆弱性侵害、段階ごとの対策を説明 - Palo Alto
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
バッファロー製ルータに脆弱性 - パスワード取得、コマンド実行のおそれ
米政府、悪用が確認された脆弱性3件について注意喚起
「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生
「Chrome」にアップデート - 「クリティカル」の脆弱性などを解消
NETGEARの一部ルータに認証バイパスの脆弱性 - 早急に更新を
「Docker」で「IPv6」の無効化が反映されない脆弱性 - アップデートで修正
「PAN-OS」更新後の再起動前に調査用ファイル取得を