これらは Google 等が求めている新基準には合致しない為、6 月以降 Gmail には届かなくなる可能性があります。新基準では「本文中の解除リンク」「ランディングページでの解除」だけでは要件を満たしているとはみなされないのです。それでは新基準が求める List-Unsubscribe についておさらいしておきましょう。公式の記載は次の通りです。
デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー
関連キーワード Apple | 脆弱性対策 | サイバー攻撃 | セキュリティ Appleのクライアントデバイス「Mac」用のSoC(統合型プロセッサ)「M」シリーズに対するサイドチャネル攻撃の手法を、米国の学術研究グループが発表した。サイドチャネル攻撃とは、攻撃者が標的となるデバイスの利用時間や消費電力を観測し、それらを手掛かりに機密データを読み取る手法だ。研究グループが発表した手法によって、攻撃者はデバイスから秘密鍵を取得できる可能性がある。 研究グループは発表した論文の中で、発見した攻撃を「GoFetch」と名付け、Mシリーズのある脆弱(ぜいじゃく)性に起因するものだと説明した。どのような脆弱性なのか。 発見された「Appleシリコン」の脆弱性 併せて読みたいお薦め記事 Appleデバイスを標的にする攻撃 MacやiPhoneを標的にする「Spectre」「Meltdown」の亡霊
セキュリティ企業のSilverfortは2024年5月6日(現地時間)、FIDO2の認証プロセスが中間者攻撃(MITM)によってバイパスされる可能性があると指摘した。 FIDO2の認証プロセスをバイパス 複数のツールでテストした結果とは? FIDO2はパスワードに代わって物理的または組み込みのキーを使用して認証を実施する技術だ。Fast Identity Online(FIDO)アライアンスによって策定されており、主に中間者攻撃やフィッシング、セッションハイジャック攻撃などからユーザーを保護する安全な方法として知られている。 FIDO2の認証フローは、WebAuthn API仕様とClient to Authenticator(CTAP)プロトコルで構成されている。プロセス全体はWebブラウザが管理するため、デバイスの登録と認証の2つのステップで利用できる。通信には公開鍵暗号を使うため、フ
Don Reisinger (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-05-08 09:42 セキュリティ研究者が、あらゆる仮想プライベートネットワーク(VPN)を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られている可能性があるという。 Leviathan Security Groupの研究者らは、VPNが使われたトラフィックを可視化する手法を発見した。攻撃者がこの手法を利用すれば、暗号化されていないトラフィックを盗聴し、価値あるデータをそのトラフィックから取り出すことが事実上可能になる。研究者はこのエクスプロイトを「TunnelVision」と名付けた上で、今のところこのトリックに引っかからないVPNは見つかっていないと指摘した。 VPNは、トラ
QNAP Systemsは、現地時間4月25日に同社ネットワークストレージ製品に関する複数のセキュリティアドバイザリを公開した。また3月に公開したアドバイザリを更新し、修正内容に深刻な脆弱性を追加している。 今回あらたに公開された情報において、特に影響が大きいのは、同社製NASに搭載されている「QTS」「QuTS hero」「QuTScloud」「myQNAPcloud」「myQNAPcloud Link」に関する脆弱性。 3月のアドバイザリ公開当初より、重要度をもっとも高い「クリティカル(Critical)」とレーティングしており、認証の不備「CVE-2024-21899」などあわせて3件の脆弱性を修正したと説明していた。 同社は同アドバイザリを更新し、修正内容に脆弱性3件を追加。OSコマンドインジェクションの脆弱性「CVE-2024-32766」や、重要な機能において認証が欠如している
JPCERTコーディネーションセンターは、2024年第1四半期にセンサーで収集した攻撃パケットの分析状況を取りまとめた。「Mirai」とは特徴が異なる探索活動が観測されている。 同センターによれば、同四半期は前四半期に引き続き、「telnet」に用いる「TCP 23番ポート」宛てに送信されたパケットが最多。前月同様、NoSQLデータベース「Redis」で使用される「TCP 6379番ポート」、SSHで使用する「TCP 22番ポート」が続いた。 これまで観測されてきた「telnet」の探索パケットの多くは、ボットネット「Mirai」に由来し、ほかのさまざまなサービスを探索する特徴が見られたが、こうした特徴を持たない「非Mirai型パケット」も多く観測されているという。 海外が送信元となっている探索パケットの推移を見ると、前半は「非MIrai型パケット」が「Mirai型パケット」を上回っていた
2024年5月1日、太陽光発電施設の遠隔監視機器 約800台がサイバー攻撃を受けていたと報じられました。ここでは関連する情報を調べた内容についてまとめます。 監視機器を経由し不正送金 太陽光発電施設の遠隔監視機器がサイバー攻撃を受けているとして、報じたのは産経新聞の次の記事。コンテック社の遠隔監視機器が乗っ取られ、インターネットバンキングの不正送金に悪用されていたというもの。 www.sankei.com 攻撃を受けた機器には脆弱性(記事では「サイバー攻撃対策の欠陥」と表記)が存在。これを悪用されたことで機器上にバックドアが設置され、機器を経由(攻撃者が身元を隠すために踏み台にしたとみられる)して不正送金にかかる操作が行われていた。当該事案については既に静岡県警も不正アクセス禁止法違反の容疑で捜査中とされている。 SolarView Compactの脆弱性を悪用 脆弱性が悪用された監視機器
NTTセキュリティ・ジャパンは、中小企業向けに内部ネットワーク上の脅威検知対策をワンパッケージで提供する「SOC in Pocket」を提供開始した。 同サービスでは、内部ネットワークにハードウェア「セキュリティおまかせBox」を配置。同社の脅威インテリジェンスを活用して脅威の検知や分析、通知を行い、リアルタイムに脅威を検知し、推奨する対応などを通知する。 あわせて同機器の通知に関する問い合わせやインシデント対応を支援するサポートデスクや、攻撃発生時の原因調査費用や損害賠償による損害をカバーするサイバー保険をワンパッケージで提供する。 参考価格は、「セキュリティおまかせBox」を1台設置し、監視対象の端末、サーバなどが100台以下の場合で月額10万円程度としている。
Microsoftは、2024年4月8日(現地時間)のブログ投稿で(注1)、Common Weakness Enumeration(共通脆弱《ぜいじゃく》性列挙)という業界標準の体系を使用して、脆弱性の根本的な原因となるデータを公開すると発表した。 Microsoftが業界標準の脆弱性評価体系を使用すると発表 このメリットは何か? 何十年もの間、Microsoftは独自の分類法によって脆弱性の原因を説明してきた。今回の変更は、製品とサービスをより安全なものとし、透明性を高めるための大きな取り組みの一環だ。 Microsoftのリサ・オルソン氏(セキュリティ領域のプログラムマネジャー)は、ブログの中で次のように述べた。 「標準体系の採用は、既存のソフトウェアやハードウェアの脆弱性を発見し、緩和するためのコミュニティー内での議論をより活発にし、将来のアップデートやリリースにおいても脆弱性を最小
There’s an increasing demand for skilled cybersecurity professionals. It’s being driven by a surge in cyberthreats and more sophisticated attackers. However, many employers are hesitant to fill open cybersecurity roles and are hiring conservatively in case of economic downturn—even though they understand the importance of having the right expertise to mitigate contemporary cyberrisks. Organization
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く