第2回 Around the Auth ライトニングトークセッション 2020/05/26 https://around-the-auth.peatix.com/?lang=ja
Copyright 2019 Capy Inc.ALL RIGHT ReservedFIDO2導⼊してみたを考えてみた
View Slide
▮CapyのFIDO12018年11⽉FIDO認定 2019年12⽉FIDO認定•JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認証)を導⼊ ※ UAFの場合は専⽤アプリを提供簡単実装•FIDO認証が可能なAndroid端末や、iOSのTouch ID /Face ID にも対応スマホ対応•導⼊コストとランニング費⽤を抑えることが可能•⽣体認証の専⽤機器を導⼊する必要なし低コスト•APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能API / SDKCapy FIDO ソリューションの主な特徴
▮事例2アプリの動作イメージ電⼦チケットによるチケットレス運⽤3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました当⽇の会場の様⼦
▮システム3利⽤者既存のチケット販売サイト(ファンクラブサイト)と連携することで、⽣体認証でのログインや本⼈確認などに使⽤できます。これにより、パスワードリスト攻撃など従来のパスワードを狙った攻撃や、Botによる機械的な購⼊などの不正な購⼊を防ぐことができます。チケットサイト(EC-CUBE)ログイン購⼊⽣体認証
▮ECCUBE4国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖https://ecclab.empowershop.co.jp/archives/38702※楽天などのモール系や、BaseなどのASP系は対象外ECCUBEは国内シェアNo.1のEC専⽤フレームワークユーザ数が多く、古くから広く使われているためサイバー攻撃の被害も多く報告されている
▮想定される脅威5パスワードリスト攻撃フィッシングサイト脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕他サービスで漏えいした情報を元に不正ログインを⾏うパスワードを使い回している⼈が狙われるログイン画⾯に偽装したサイトなどでユーザを騙してアカウント情報を盗むECCUBEやサーバのミドルウェアの脆弱性を使⽤して、サイト改ざんなどを⾏うクレジットカード情報を盗む事例も報告されている
▮(参考)6
▮実施システム7EC CUBEマイページFIDO認証サーバ認証専⽤アプリJavaScriptAPI通知独⾃プラグイン
▮昨年の11⽉に IoP Test event に参加しました82019 FIDO Tokyo Seminar -FIDO認定と国内で初めて開催したFIDO相互接続性試験についてhttps://www.slideshare.net/FIDOAlliance/2019-fido-tokyo-seminar-fidofido-203855288
▮FIDO2の認定を取得しました9
▮実施システム10EC CUBEマイページFIDO認証サーバ認証専⽤アプリJavaScriptAPI通知独⾃プラグインFIDO2 でやりたい
▮ECCUBE /w FIDO2 やってみた11EC CUBEFIDO2認証サーバ認証JavaScriptマイページ独⾃プラグイン
▮当初のもくろみ12まぁ以前プラグインつくったし、JavaScriptちょっといじるくらいでいけるやろヨシ
▮ECCUBEの脅威(再掲)13
▮当初のもくろみ14そういや4系触ってなかったな最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間を経て、ソフトウェア・開発環境・プラットフォーム、全てが充実。理想のECサイトを、より簡単・安⼼・低価格で。https://www.ec-cube.net/press/detail.php?press_id=241
▮当初のもくろみ15Symfony のバージョンアッププラグイン仕様の⼤幅変更→過去のマニュアルが使⽤できないECCUBE4ドキュメントより
▮ECCUBE4のドキュメント16攻略本ここまできた君なら⼤丈夫︕あとは気合いサンプルで乗り切ろう︕
▮ということで作るの⼤変でした17EC CUBEXHRFIDO2認証サーバPixel4YubiKeyなど登録認証ページ(プラグインから⽣成)
▮まとめ・所感• FIDOの使⽤により、パスワードリスト攻撃やフィッシング対策などに期待される• ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に導⼊できる• 但し、認証/セッションまわりの機能を変更したりするので、アカウントの扱い⽅は慎重にやる必要がある(複数端末・失効・クロスオリジン通信まわり)• そもそもFIDOサーバの運⽤⼤変• もっと簡単に導⼊できるような仕組みがあればいいなと思いました(ワンクリックで〜ノンプログラマーでも︕)18FIDOな相談受け付けておりますhttps://corp.capy.me/product/fido[email protected]