$30 off During Our Annual Pro Sale. View Details »

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja

yoshinori matsumoto

May 26, 2020
Tweet

More Decks by yoshinori matsumoto

Other Decks in Technology

Transcript

  1. Copyright 2019 Capy Inc.ALL RIGHT Reserved
    FIDO2導⼊してみた
    を考えてみた

    View Slide

  2. ▮CapyのFIDO
    1
    2018年11⽉FIDO認定 2019年12⽉FIDO認定
    •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認
    証)を導⼊ ※ UAFの場合は専⽤アプリを提供
    簡単実装
    •FIDO認証が可能なAndroid端末や、iOSのTouch ID /
    Face ID にも対応
    スマホ対応
    •導⼊コストとランニング費⽤を抑えることが可能
    •⽣体認証の専⽤機器を導⼊する必要なし
    低コスト
    •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能
    API / SDK
    Capy FIDO ソリューションの主な特徴

    View Slide

  3. ▮事例
    2
    アプリの動作イメージ
    電⼦チケットによる
    チケットレス運⽤
    3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤
    および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました
    当⽇の会場の様⼦

    View Slide

  4. ▮システム
    3
    利⽤者
    既存のチケット販売サイト(ファンクラブサイト)
    と連携することで、⽣体認証でのログインや本⼈確
    認などに使⽤できます。
    これにより、パスワードリスト攻撃など従来のパス
    ワードを狙った攻撃や、Botによる機械的な購⼊など
    の不正な購⼊を防ぐことができます。
    チケットサイト
    (EC-CUBE)
    ログイン
    購⼊
    ⽣体認証

    View Slide

  5. ▮ECCUBE
    4
    国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖
    https://ecclab.empowershop.co.jp/archives/38702
    ※楽天などのモール系や、
    BaseなどのASP系は対象外
    ECCUBEは国内シェアNo.1の
    EC専⽤フレームワーク
    ユーザ数が多く、
    古くから広く使われているため
    サイバー攻撃の被害も多く
    報告されている

    View Slide

  6. ▮想定される脅威
    5
    パスワードリスト攻撃
    フィッシングサイト
    脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕
    他サービスで漏えいした情報を元に不正ログインを⾏う
    パスワードを使い回している⼈が狙われる
    ログイン画⾯に偽装したサイトなどでユーザを騙して
    アカウント情報を盗む
    ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、
    サイト改ざんなどを⾏う
    クレジットカード情報を盗む事例も報告されている

    View Slide

  7. ▮(参考)
    6

    View Slide

  8. ▮実施システム
    7
    EC CUBE
    マイページ
    FIDO認証サーバ
    認証
    専⽤アプリ
    JavaScript
    API
    通知
    独⾃プラグイン

    View Slide

  9. ▮昨年の11⽉に IoP Test event に参加しました
    8
    2019 FIDO Tokyo Seminar -
    FIDO認定と国内で初めて開催した
    FIDO相互接続性試験について
    https://www.slideshare.net/FI
    DOAlliance/2019-fido-tokyo-
    seminar-fidofido-203855288

    View Slide

  10. ▮FIDO2の認定を取得しました
    9

    View Slide

  11. ▮実施システム
    10
    EC CUBE
    マイページ
    FIDO認証サーバ
    認証
    専⽤アプリ
    JavaScript
    API
    通知
    独⾃プラグイン
    FIDO2 でやりたい

    View Slide

  12. ▮ECCUBE /w FIDO2 やってみた
    11
    EC CUBE
    FIDO2
    認証サーバ
    認証
    JavaScript
    マイページ
    独⾃プラグイン

    View Slide

  13. ▮当初のもくろみ
    12
    まぁ以前プラグインつくったし、
    JavaScriptちょっといじるくらいで
    いけるやろ
    ヨシ

    View Slide

  14. ▮ECCUBEの脅威(再掲)
    13

    View Slide

  15. ▮当初のもくろみ
    14
    そういや4系触ってなかったな
    最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間
    を経て、ソフトウェア・開発環境・プラットフォーム、全てが
    充実。理想のECサイトを、より簡単・安⼼・低価格で。
    https://www.ec-cube.net/press/detail.php?press_id=241

    View Slide

  16. ▮当初のもくろみ
    15
    Symfony のバージョンアップ
    プラグイン仕様の⼤幅変更
    →過去のマニュアルが使⽤できない
    ECCUBE4ドキュメントより

    View Slide

  17. ▮ECCUBE4のドキュメント
    16
    攻略本
    ここまできた君なら⼤丈夫︕
    あとは気合いサンプルで乗り切ろう︕

    View Slide

  18. ▮ということで作るの⼤変でした
    17
    EC CUBE
    XHR
    FIDO2
    認証サーバ
    Pixel4
    YubiKey
    など
    登録認証
    ページ
    (プラグインから⽣成)

    View Slide

  19. ▮まとめ・所感
    • FIDOの使⽤により、パスワードリスト攻撃やフィッシング
    対策などに期待される
    • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に
    導⼊できる
    • 但し、認証/セッションまわりの機能を変更したりするの
    で、アカウントの扱い⽅は慎重にやる必要がある(複数端
    末・失効・クロスオリジン通信まわり)
    • そもそもFIDOサーバの運⽤⼤変
    • もっと簡単に導⼊できるような仕組みがあればいいなと思
    いました(ワンクリックで〜ノンプログラマーでも︕)
    18
    FIDOな相談受け付けております
    https://corp.capy.me/product/fido
    [email protected]

    View Slide