掲載日:2025年6月6日
更新日:2025年6月20日
リリース実施予定
2025年6月23日 14時 から 2時間程度を予定しています。
リリース詳細
PUSH通知認証のセキュリティ対応
※画面イメージは開発中のものです。文言などの一部表記は変更される場合があります。
セキュリティ強化のため、PUSH通知認証時に確認コードの入力を求める仕様に変更します。
なお、PUSH通知認証にはアプリ「SlinkPass」※が必要です。
※Android版は本リリースと合わせて公開される「Ver.2.4.9」から対応し、iOS版は準備が整い次第対応します。
今後、PUSH通知認証のログイン画面で[PUSH通知送信]をクリック後、画面に表示される確認コードをSlinkPassに入力して認証します。
PUSH通知認証:確認コードを入力する様子
◆仕様変更の背景近年、スマートフォンのプッシュ通知を悪用した攻撃(多要素認証疲労攻撃)による被害が増えています。多要素認証疲労攻撃(MFA Fatigue Attack)は、ユーザーの誤操作を誘発して不正アクセスを行う攻撃です。SeciossLinkのPUSH通知認証は、このユーザーの誤操作を防止する目的で、認証プロセスに確認コードの入力という動作を追加します。
参考:多要素認証疲労攻撃の攻撃手法
攻撃者が何らかの方法で入手したユーザーIDとパスワードを使ってログイン試行を行い、正規ユーザーにプッシュ認証の通知を送信します。そのログイン試行を繰り返すことで正規ユーザーに誤ってクリックさせ、不正アクセスを行います。
リスクベース認証の性能向上及びログインアラートのメールテンプレート変更
リスク判定の精度を向上させるためアルゴリズムを変更しました。これに伴い、リスクベースの検知基準およびログインアラートの通知基準を変更します。また、ログインアラートのメールテンプレートで使用できる変数の一部を変更します。
今後、ログインアラートのメールテンプレート「新しい傾向のログイン」で使用できる変数に、ブラウザーの種類を示す「ブラウザー」を追加します。これまでブラウザーやユーザーエージェントを示していた変数 ${agent} の名称を「ユーザーエージェント」に変更します。
メールテンプレートは、管理コンソールの左メニュー > システム > メールテンプレート設定にあるメールの種類「新しい傾向のログイン」で変更できます。
管理コンソールの認証 > 認証ポリシー の設定画面は変更されません。
「新しい傾向のログイン」のメールテンプレートで使用可能な変数の種類と名称
| 変数 | 現在の内容 | 変更後の名称 |
| ${id} | ユーザーID | ユーザーID |
| ${name} | 氏名 | 氏名 |
| ${tenant} | テナントID | テナントID |
| ${ip} | IPアドレス | IPアドレス |
| ${location} | 場所 | 場所 |
| ${logintime} | 時間 | 時間 |
| ${browser} | - | ブラウザー |
| ${agent} | ブラウザー | ユーザーエージェント |
| ${mail} | メールアドレス | メールアドレス |
例 「新しい傾向のログイン」の通知メール
不具合修正および調整
・軽微な不具合修正および調整を行います。