FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF（⽣体認証）を導⼊ ※ UAFの場合は専⽤アプリを提供簡単実装
•FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴

▮事例 2 アプリの動作イメージ電⼦チケットによるチケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤および⽣体認証による⼊場管理（本⼈確認）の実証実験を⾏いました当⽇の会場の様⼦

▮システム 3 利⽤者既存のチケット販売サイト（ファンクラブサイト）と連携することで、⽣体認証でのログインや本⼈確認などに使⽤できます。これにより、パスワードリスト攻撃など従来のパスワードを狙った攻撃や、Botによる機械的な購⼊などの不正な購⼊を防ぐことができます。チケットサイト
（EC-CUBE）ログイン購⼊⽣体認証

▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワークユーザ数が多く、古くから広く使われているため
サイバー攻撃の被害も多く報告されている

▮想定される脅威 5 パスワードリスト攻撃フィッシングサイト脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏うパスワードを使い回している⼈が狙われるログイン画⾯に偽装したサイトなどでユーザを騙してアカウント情報を盗む
ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、サイト改ざんなどを⾏うクレジットカード情報を盗む事例も報告されている

▮（参考） 6

▮実施システム 7 EC CUBE マイページ FIDO認証サーバ認証専⽤アプリ JavaScript API
通知独⾃プラグイン

▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar
- FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288

▮FIDO2の認定を取得しました 9

▮実施システム 10 EC CUBE マイページ FIDO認証サーバ認証専⽤アプリ JavaScript API
通知独⾃プラグイン FIDO2 でやりたい

▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ認証
JavaScript マイページ独⾃プラグイン

▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいでいけるやろヨシ

▮ECCUBEの脅威（再掲） 13

▮当初のもくろみ 14 そういや4系触ってなかったな最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間を経て、ソフトウェア・開発環境・プラットフォーム、全てが充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241

▮当初のもくろみ 15 Symfony のバージョンアッププラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより

▮ECCUBE4のドキュメント 16 攻略本ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕

▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など
登録認証ページ（プラグインから⽣成）

▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に導⼊できる • 但し、認証/セッションまわりの機能を変更したりするので、アカウントの扱い⽅は慎重にやる必要がある（複数端
末・失効・クロスオリジン通信まわり） • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思いました（ワンクリックで〜ノンプログラマーでも︕） 18 FIDOな相談受け付けております https://corp.capy.me/product/fido matsumoto@capy.me

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

yoshinori matsumoto

More Decks by yoshinori matsumoto

Other Decks in Technology

Featured

Transcript

Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみたを考えてみた

▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF（⽣体認証）を導⼊ ※ UAFの場合は専⽤アプリを提供簡単実装

▮（参考） 6

▮実施システム 7 EC CUBE マイページ FIDO認証サーバ認証専⽤アプリ JavaScript API

▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar

▮FIDO2の認定を取得しました 9

▮実施システム 10 EC CUBE マイページ FIDO認証サーバ認証専⽤アプリ JavaScript API

▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ認証

▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいでいけるやろヨシ

▮ECCUBEの脅威（再掲） 13

▮当初のもくろみ 15 Symfony のバージョンアッププラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより

▮ECCUBE4のドキュメント 16 攻略本ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕

▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など