O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

FIDO2導入してみたを考えてみた

739 visualizações

Publicada em

第2回 Around the Auth ライトニングトークセッション
Capy株式会社 松本 悦宜

Publicada em: Software
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

FIDO2導入してみたを考えてみた

  1. 1. Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた
  2. 2. ▮Capy株式会社のご紹介 1 ■会社概要 会社名 Capy株式会社 設⽴ 2017年8⽉29⽇ ※Capy Inc.設⽴2012年10⽉ 代表 創設者/CEO 岡⽥満雄 博⼠(情報学) 株主 株式会社ジャフコ 500startups 株式会社エースタート 三菱UFJキャピタル株式会社 三井住友海上キャピタル株式会社 岡⽥ 満雄 本社 〒104-0061 東京都中央区銀座6-2-1 Daiwa銀座ビル3階 事業内容 不正アクセス対策ソリューションの提供
  3. 3. ▮⾃⼰紹介 2 JPCERT/CCセキュリティ IPA ・セキュリティ診断 (⼤⼿ECサイト、 ⾦融系スマホアプリなど) ・トレーニング (官公庁) ・産業サイバーセキュリティセンター メンター 著書 (共著) ・WordPressプロフェッショナル養成読本 ・インターネット⽩書2015 ・脆弱性情報 ・インシデント分析 (重要インフラ業者向け) 講演 ・Black hat 2016 Arsenal ・OWASP AppSec APAC など 松本悦宜 (まつもと よしのり) Capy株式会社 研究開発部
  4. 4. ▮CapyのFIDO 3 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ 簡単実装 •⽣体認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能API / SDK Capy FIDO ソリューションの主な特徴
  5. 5. ▮事例 4 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦
  6. 6. ▮システム 5 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト (EC-CUBE) ログイン 購⼊ ⽣体認証
  7. 7. ▮ECCUBE 6 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため サイバー攻撃の被害も多く 報告されている
  8. 8. ▮想定される脅威 7 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者ががんばれ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている
  9. 9. ▮(参考) 8
  10. 10. ▮実施システム 9 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API 通知独⾃プラグイン
  11. 11. ▮昨年の11⽉に IoP Test event に参加しました 10 2019 FIDO Tokyo Seminar - FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288
  12. 12. ▮FIDO2の認定を取得しました 11
  13. 13. ▮実施システム 12 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API 通知独⾃プラグイン FIDO2 でやりたい
  14. 14. ▮ECCUBE /w FIDO2 やってみた 13 EC CUBE FIDO2 認証サーバ 認証 JavaScriptマイページ 独⾃プラグイン
  15. 15. ▮当初のもくろみ 14 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ
  16. 16. ▮当初のもくろみ 15 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241
  17. 17. ▮当初のもくろみ 16 Symfony のバージョンアップ プラグインの⼤幅変更 →過去のマニュアルが使⽤できない
  18. 18. ▮ということで作るの⼤変でした 17 EC CUBE 登録/認証画⾯ XHR マイページ FIDO2認証はこちら FIDO2 認証サーバ Pixel4YubiKey など
  19. 19. ▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃や フィッシング対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトに も簡単に導⼊できる • 但し、認証/セッションまわりの機能を変更したり するので、アカウントの扱い⽅は慎重にやる必要 がある(複数端末・失効・クロスオリジン通信ま わり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればい いなと思いました(ワンクリックで〜ノンプログ ラマーでも︕) 18

×