どらいば～

QNAPのNAS向け写真管理アプリQuMagieに、認証なしでプライベート写真やAI顔認識サムネイルを外部から取得できる脆弱性3件が報告されています。最も深刻なCVE-2026-44083はCritical評価で、認証不要のリモート攻撃者がメディアファイルとアルバムアーカイブの両方にアクセスできるとされています。別途License-Centerのパストラバーサル1件を含む計4件がQSA-26-35として修正版とともに公開されています。 【要点の整理】 ・CVE-2026-26236（High）は認証なしでメディアファイルにアクセス可能、CVE-2026-26237（High）は認証なしでAI顔認識サムネイルとフォルダカバー画像にアクセス可能。いずれもリモートからの攻撃が成立 ・CVE-2025-62851（Medium）はLicense-CenterのqlicenseRequest[.]cgiにおけるパストラバーサルで、認証済み管理者が本来アクセス���きないディレクトリのファイルを読み取れる脆弱性 ・修正版はQuMagie 2.8.2に対して2.9.1、QuMagie 2.9.0に対して2.10.0、License-Center 1.8.56に対して2.0.42 QuMagieはNAS上の写真をAIで自動分類・顔認識する機能を持つアプリであり、アドバイザリの公開日は2026年6月17日付です。 詳細は以下を参��： https://t.co/5u0ZRLmixA

[PDF] ISP 事業者向けメールシステムに対する不正アクセスの発生について 2026年6月23日 KDDI株式会社 https://t.co/nSmwEGx35C 『当社がインターネットサービスプロバイダー（以下 ISP 事業者）向けに提供するメールシステム（以下 本システム）において、各 ISP ��業者さまが提供する電子メールサービス（以下 本メールサービス）の情報の一部が外部に漏えいした可能性があることを、2026 年 6 月 17 日に確認しました。ISP 事業者さま、ISP 事業者さまのお客さまをはじめとする関係者の皆さまには、多大なご迷惑をおかけしておりますことを、深くお詫び申し上げます。 １．本件の発生経緯 2026 年 6 月 17 日、当社が ISP 事業者向けに提供する本システムが不正アクセス（以下 本件不正アクセス）を受けていたことを確認しました。同日当社は、被害拡大を��止するため、本システムを改修しました。本件不正アクセスの被疑箇所を特定し、技術的な防御措置を実施しております。 調査の結果、本件不正アクセスは、本システムにおいて利用していた第三者製のソフトウェアの脆弱性を悪用されたことによるものであり、本メールサービスの利用に必要となる、お客さまのメール関連情報が漏えいした可能性があることが判明しました。当社では引き続き、影響範囲の特定などに向け、調査を継続しています。 なお、当社は本件不正アクセスに関し、関係法令などに基づき、個人情報保護委員会、総務省への報告・相談を含む必要な対応を進めています。 ２．対象の ISP 事業者 対象の ISP 事業者さまおよび本メールサービスは以下の 6 社です。 株式会社 STNet ：「ピカラ光サービス」、「ピカラモバイルサ���ビス」、「お仕事ピカラサービス」に係るメールサービス 株式会社 KDDI ウェブコミュニケーションズ：レンタルサーバー「CPI」のメールサービス JCOM 株式会社 ：「J:COM NET」とケー���ルテレビ事業者さま向けメールサービス 中部テレコミュニケーション株式会社 ：コミュファ光・ビジネスコミュファのメールサービス ニフティ株式会社 ：@ nifty メール ビッグローブ株式会社 ：BIGLOBE メール ※五十音順 ３．漏えいした可能性のあるメール関連情報 本メールサービスにて作成されたメールボックスに紐づくメールアドレス・パスワード 最大 1,422 万件 ※ご解約されたお客さまや、一定期間ご利用のない休眠のお客さまも含みます。 ※パスワードには、ハッシュ化・暗号化されたものも含みます。 ※調査を継続中のため、最大値で記しています。 ４．対象の ISP 事業者さまへのご案内について 現在当社は、ISP 事業者さまに、2026 年 6 月 17 日以降、当社から順次連絡を行っています。あわせて、対策に関する協議および対策導入を進めています。 なお、本システムに関する技術的な防御措置は実施しておりますが、本件不正アクセスによりお客さまのメールアドレスおよびパスワードが第三者に不正取得されている可能性があります。お客さまのデータを確実に保護し、将来的・潜在的なリスクを排除するために、お客さまのメールパスワードの変更が必要となります。お客さまにおかれましては、ISP 事業者さまから提供される情報をご確認のうえ、早急にご対応ください。 当社は、引き続き ISP 事業者さまと連携し、お客さまへの速やかなパスワード変更に向けた周知および対応などを進めていきます。』 （一部抜粋）#incident

ファイブ・アイズ（米英加豪NZの5か国情報共有同盟）のサイバーセキュリティ機関の長6名が連名で、フロンティアAIモデルがサイバー能力を根本的に変える時期は「年単位ではなく月単位」とする共同声明を公表しました。AIが脅威の速度・規模・巧妙さを加速させるとの認��のもと、旧型システムの放置・パッチ適用の遅れ・不要なインターネット接続・脆弱なID管理・事前計画の不足をAIが真っ先に突く弱点として列挙し、従来のセキュリティ基本対策の緊急の徹底を求めています。 【要点の整理】 ・声明は「フロンティアAIモデルは現在の業界予測を上回る見通しであり、攻撃・防御双方のサイバー能力を根本的に変える。そのタイムラインは年単位ではなく月単位」と明記。AIが脆弱性の発見から悪用までの時間を短縮しており、パッチ適用の遅れがリスクを増大させるとの警告 ・具体的な行動項目として、攻撃面の縮小（不要な外部接続の遮断）、パッチ適用の加速、サポート切れ旧型システムの対処、ID・アクセス制御の強化、インシデント対応計画の事前テストの5点が挙げられている ・防御側もAIを活用すべきとし、脆弱性の早期検出・ソフトウェア品質の向上・異常行動の監視・インシデント対応の迅速化にAIツールを統合することを求めている。「最も多くのツールを持つことではなく、基本の徹底・迅速な行動・サイバーセキュリティの中核戦略への統合が成功の条件」との結論 ・署名者はオーストラリアASD/ACSC、カナダCSE/CCCS、ニュージーランドGCSB/NCSC、英国GCHQ/NCSC、米国NSA CSDおよびCISAの5か国6機関の長。なお同盟は2026年4月30日にもAIエージェントの安全導入に関する共同ガイダンスを公表している 詳細は以下を参照： https://t.co/ENRYYcj2h4

📣AWS認定の更新に「維持管理(Maintain)」が追加！📣 有効期間を1年間延長できるようになったよ！ 認定資格は有効である必要があり、有効期限の90日以内にメンテナンス作業を完了する必要があるよ📝 完了日から1年間が延長されるよ！！ 期限ギリギリだけど、試験に行く時間が取れない！って人はこの仕組みを使ってみるのもいいと思うんだー 対象の認定は以下の5つ✌️ ・AWS Certified Solutions Architect Professional ・AWS Certified DevOps Engineer Professional ・AWS Certified Solutions Architect Associate ・AWS Certified Developer Associate ・AWS Certified CloudOps Engineer Associate ・AWS Certified Cloud Practitioner

【お願い】 多くの皆様からお見舞いや励ましのお言葉、また様々なご理解とご協力をいただいておりますことに、心より感謝申し上げます。 改めて、皆様にお願いです。 学校、区教育委員会と対策本部では各関係機関のお力添えをいただきながら、児童や保護者の皆様が安心して日常を取り戻せるよう、今は心身のケアと教育活動の再開を最優先に全庁あげて取り組んでいます。 報道機関をはじめ、SNSでの情報発信をされる皆さま、児童及び教職員、そしてご家族の皆様のプライバシーや心情にご配慮いただきますようお願いいたします。 区としても、関係機関と連携しながら、正確な情報の把握と、迅速でわかりやすい情報発信を行ってまいりますので、ご理解とご協力の程、よろしくお願いいたします。