いつもSeciossLinkをご利用いただき、誠にありがとうございます。
2025年6月のアップデート情報のダイジェスト版をお知らせいたします。
今月のリリースでは、近年増加しているサイバー攻撃からお客様の環境を保護するため、PUSH通知認証の仕様変更(多要素認証疲労攻撃対策)および、リスクベース認証の判定アルゴリズムの向上を実施いたしました。以下に詳細をご案内いたします。
セキュリティ強化のため、専用アプリ「SlinkPass」を用いたPUSH通知認証の仕様を一部変更し、認証時に「確認コード」の入力を求める方式へ移行いたします。
今後、ログイン画面で[PUSH通知送信]をクリックした際、画面上に確認コードが表示されます。その数字をスマートフォン上のSlinkPassアプリに入力することで認証が完了します。
【仕様変更の背景:多要素認証疲労攻撃への対策】近年、攻撃者が不正に入手したID/パスワードを使ってログイン試行を繰り返し、正規ユーザーのスマートフォンに大量のプッシュ通知を送りつけることで、ユーザーの誤操作(承認)を誘発する「多要素認証疲労攻撃(MFA Fatigue Attack)」が増加しています。SeciossLinkでは、この攻撃による誤操作を物理的に防ぐため、ただ「承認」ボタンを押すだけでなく「画面に表示されたコードを入力する」という動作を認証プロセスに追加いたしました。 |
より正確に不正なログイン試行を検知できるよう、リスクベース認証の判定アルゴリズムを向上させました。これに伴い、リスクベースの検知基準およびログインアラートの通知基準が変更されます。(※管理コンソール上の認証ポリシー設定画面に変更はありません)
また、ログインアラートのメールテンプレート「新しい傾向のログイン」で使用できる変数を以下の通り追加・変更しました。
SeciossLinkでは、今後もお客様のセキュリティ強化と利便性向上のため、継続的なアップデートを行ってまいります。
※本記事は2025年6月のリリース情報をダイジェスト版として配信しています。リリース情報の詳細はヘルプサイトをご確認ください。