IoT OT Security News

Zero-Day に関する 2025 年調査：30% の脆弱性が公開前に悪用されていた

Zero-Day Exploits Surge, Nearly 30% of Flaws Attacked Before Disclosure

2026/01/22 InfoSecurity — VulnCheck が特定した 2025 年の Known Exploited Vulnerability (KEV) の 28.96% が、公開前または報告当日に悪用されていた。つまり、サイバー攻撃者たちは、脆弱性の悪用速度を継続的に加速している状況にある。2026年1月21日に公開された VulnCheck の State of Exploitation 2026 レポートが示すのは、2025 年の Zero-Day／One-Day 脆弱性の悪用が、2024 年の 23.6% から大きく跳ね上がっている実態である。

NVIDIA CUDA Toolkit の複数の脆弱性が FIX：任意のコード実行や権限昇格などの恐れ

NVIDIA CUDA Toolkit Flaw Allows Command Injection, Arbitrary Code Execution

2026/01/22 gbhackers — NVIDIA が公表したのは、CUDA Toolkit に存在する深刻な脆弱性に対するアドバイザリである。これらの脆弱性は、GPU アクセラレーション・システムを、コマンド・インジェクションおよび任意のコード実行のリスクにさらすものである。2026年1月20日に公開されたアドバイザリで修正されたのは、Nsight Systems および関連ツールに存在する 4 件の脆弱性であり、いずれも CUDA Toolkit エコシステムに関連するものだ。

BIND 9 の脆弱性 CVE-2025-13878 が FIX：named デーモンの不適切な処理とサービス拒否

BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records

2026/01/22 CyberSecurityNews — インターネット上の数百万のサービスに対してドメイン名解決を担う、DNS サーバ・ソフトウェア BIND 9 に高深刻度の脆弱性が発見された。この脆弱性 CVE-2025-13878 を悪用するリモート攻撃者は、細工された不正な DNS レコードを送信することで DNS サーバをクラッシュさせ、重要なインターネット・インフラおよび組織のサービスを停止させる可能性がある。

Node.js binary-parser Library の脆弱性 CVE-2026-1245 が FIX：コード・インジェクションの恐れ

Node.js binary-parser Library Flaw Enables Malicious Code Injection

2026/01/22 gbhackers — 広く利用されている Node.js の binary-parser ライブラリに存在する、深刻なコード・インジェクション脆弱性により、アプリケーション上で任意の JavaScript 実行が可能となる。2026年1月20日に CERT/CC は Vulnerability Note VU#102648 を公開し、この脆弱性に CVE-2026-1245 を割り当てた。この脆弱性は安全でない動的コード生成に起因し、影響を及ぼす範囲はバージョン 2.3.0 未満となる。パーサ定義に信頼できない入力を使用している開発者は、プロセス全体の侵害を含む深刻なリスクに直面する。

ZEST の AI Sweeper Agents：過剰なパッチ要求を削減してセキュリティ・チームの負荷を軽減

ZEST Security Adds AI Agents to Identify Vulnerabilities That Pose No Actual Risk

2026/01/22 SecurityBoulevard — 今日 ZEST Security は、特定の脆弱性がアプリケーション環境に対して実際の脅威となるかどうかを識別する、人工知能 (AI) エージェント群を追加した。同社 CEO の Snir Ben Shimol によると、実際には悪用不可能な脆弱性の修正要求を AI Sweeper Agents が排除することで、作成すべきパッチ数を削減できるという。

CISA KEV 警告 26/01/21：Cisco Unified CM の脆弱性 CVE-2026-20045 を登録

Cisco Unified CM Zero-Day RCE Under Attack, CISA Issues Warning

2026/01/22 gbhackers — CISA は、Cisco Unified Communications Manager (Unified CM) に存在する深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-20045 を、2026年1月21日に Known Exploited Vulnerabilities (KEV) カタログに追加した。このゼロデイ脆弱性が影響を及ぼす範囲は、Unified CM／Unified CM Session Management Edition (SME)／Unified CM IM & Presence Service／Cisco Unity Connection／Cisco Webex Calling Dedicated Instance などの、複数の Cisco Unified Communications 製品となる。

Fortinet FortiGate SSO の脆弱性 CVE-2025-59718：実環境での積極的な悪用を確認

Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access

2026/01/22 CyberSecurityNews — Fortinet FortiGate ファイアウォールの Single Sign-On (SSO) 機能に存在する深刻な脆弱性 CVE-2025-59718 が、積極的に悪用されている。この脆弱性を悪用する攻撃者は、不正なローカル管理者アカウントを作成することで、インターネットに公開されているデバイスに対する完全な管理者アクセスを取得している。複数のユーザーから同一の攻撃パターンが報告されているため、Fortinet の PSIRT フォレンジック・チームが調査を開始した。

GitLab CE／EE の複数の深刻な脆弱性が FIX：二要素認証バイパスと DoS の恐れ

GitLab Security Flaws Could Allow Two-Factor Authentication Bypass and DoS

2026/01/21 gbhackers — GitLab が公開したのは、Community Edition (CE)／Enterprise Edition (EE) に影響を及ぼす、複数の脆弱性に対処する深刻な脆弱性に対するセキュリティ・アドバイザリである。二要素認証のバイパスやサービス拒否 (DoS) 攻撃に対する修正版として、すでにバージョン 18.8.2／18.7.2／18.6.4 が提供されている。すべてのセルフ・マネージド環境に対して GitLab が強く推奨するのは、速やかなアップグレードである。その一方で、GitLab.com にはすでにパッチが適用済みである。

Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX：コマンド・インジェクションによる RCE の恐れ

Critical Zoom Command Injection Vulnerability Enables Remote Code Execution

2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。

Anthropic Git MCP Server における複数の脆弱性：プロンプト・インジェクションによるコード実行の可能性

Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution

2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143／CVE-2025-68144／CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行／ファイル削除／機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。

Azure の Private Endpoint デプロイメントに深刻な脆弱性：クラウド・リソースへの DoS 攻撃の可能性

Azure Private Endpoint Deployments Expose Cloud Resources to DoS Attacks

2026/01/21 gbhackers — Azure の Private Endpoint デプロイメントにおける深刻なアーキテクチャ上の弱点により、クラウド・リソースに対する偶発的／意図的なサービス拒否 (DoS) 攻撃が可能になる。この脆弱性は、Azure の Private DNS ゾーン解決とハイブリッド・ネットワーク・コンフィグとの相互作用に起因し、Azure Storage Account の 5% 超と、複数の重要サービスに影響を及ぼす可能性がある。

Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX：深刻なインフラ露出の可能性

Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server

2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。

Chrome 144 の脆弱性 CVE-2026-1220 が FIX：V8 JavaScript エンジンの競合状態

Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw

2026/01/21 gbhackers — Google は、Windows／Mac／Linux プラットフォーム向けの Chrome 144.0.7559.96／.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。

LastPass を装うフィッシング・キャンペーン：マスター・パスワード窃取を狙う偽メンテナンス通知

LastPass Warns of Fake Maintenance Messages Targeting Users’ Master Passwords

2026/01/21 TheHackerNews — LastPass のパスワード管理サービスを装う、アクティブなフィッシング・キャンペーンの登場について、同社はユーザーに対して警告を発している。このキャンペーンは、ユーザーを欺いてマスター・パスワードを入力させることで、その漏洩を目的としている。このキャンペーンは、2026年1月19日頃に開始された。その手口は、今後に予定されているメンテナンス通知を装うフィッシング・メールを送信するものであり、パスワード・ボルトのローカル・バックアップ作成を、24 時間以内に実施するよう促すものである。

GNU InetUtils の深刻な認証バイパスの脆弱性：ログイン時の “-f root” パラメータで root 権限の奪取

Critical GNU InetUtils Vulnerability Allows Unauthenticated Root Access Via “-f root”

2026/01/21 CyberSecurityNews — GNU InetUtils に含まれる telnetd サーバコンポーネントに、深刻なリモート認証バイパスの脆弱性が発見されたことを、2026年1月19日にセキュリティ研究者が報告した。この脆弱性は、telnetd の認証メカニズムにおける不適切な入力サニタイズに起因し、未認証の攻撃者に対して root 権限の不正取得を許すものである。

VoidLink が示す AI 生成マルウェア時代の到来：Check Point が警告

VoidLink Represents the Future of AI-Developed Malware: Check Point

2026/01/20 SecurityBoulevard — 1 人の個人と推測される脅威アクターが、AI を用いて単独で開発したとみられる高度なマルウェアが、Check Point の研究者たちにより発見された。このインシデントが示すのは、急速に進化する技術がサイバー脅威の生成方法を変化させる、先駆的な事例である。VoidLink と名付けられたマルウェアは、開発の初期段階で検出され、実際の攻撃で使用された形跡は確認されていない。しかし、異例のスピードで進められた設計と構築は、高度にモジュール化された構造を備えるものであり、迅速な進化を可能にする仕組みを持っている。そのため、発見当初は、大規模かつ潤沢な資金を有する攻撃者グループによるものと見られていた。

WordPress Advanced Custom Fields の脆弱性 CVE-2025-14533 が FIX：Web サイト乗っ取りのリスク

WordPress Plugin Vulnerability Exposes 100,000+ Sites to Privilege Escalation Attacks

2026/01/20 CyberSecurityNews — 人気の WordPress プラグイン Advanced Custom Fields: Extended に存在する、深刻な脆弱性 CVE-2025-14533 (CVSS：9.8：Critical) により、10 万以上の Web サイトが完全な乗っ取りのリスクにさらされている。この脆弱性は、バージョン 0.9.2.1 以前のプラグインに影響を及ぼすものだ。この脆弱性が未修正の状態で放置されると、ユーザー登録フォームにおけるロール処理の仕組みを悪用する未認証の攻撃者に、管理者レベルのアクセス権限を奪取される恐れがある。

TP-Link VIGI 製品群の脆弱性 CVE-2026-0629 が FIX：パスワード回復処理を介した認証バイパス

TP-Link Router Flaw Enables Authentication Bypass Through Password Recovery Mechanism

2026/01/20 gbhackers — TP-Link が公表したのは、同社の VIGI セキュリティカメラ製品群に影響を与える、深刻な認証バイパスの脆弱性 CVE-2026-0629 の詳細である。この脆弱性を悪用するローカル・ネットワーク上の攻撃者は、認証を得ることなく管理者パスワードをリセットできてしまう。この問題は、ローカル Web インターフェイスに実装されたパスワード回復機能に存在し、クライアント・サイドの状態操作により悪用される。それにより、同一の LAN 上に位置する脅威アクターは、パスワード回復時の認証メカニズムを回避することで、VIGI カメラに対する完全な管理者権限を取得できる。

Apache Airflow の脆弱性 CVE-2025-68675／68438 が FIX：機密情報漏洩の恐れ

Apache Airflow Vulnerabilities Enables Expose of Sensitive Data

2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。

OPNsense 25.7.11 がリリース：接続デバイスとネットワークに対する可視性が向上

OPNsense 25.7.11 Enhances Network Visibility With Host Discovery Feature

2025/01/20 gbhackers — 2026年1月に、OPNsense チームはバージョン 25.7.11 をリリースした。このリリースでは、ファイアウォール全体にわたる接続デバイスの可視性が高められている。また、ポリシー制御を強化する注目すべきネットワーク機能強化として、ネットワーク可視性を向上させるネイティブ・ホスト検出サービスが追加された。このバージョン 25.7.11 における目玉機能は、”hostwatch” コンポーネントを基盤とした新しいホスト検出サービスである。

Cloudflare のゼロデイ脆弱性が FIX：WAF 回避によるオリジン・サーバへの直接アクセス

Cloudflare Zero-Day Flaw Allows Attackers to Bypass Security and Access Any Host

2026/01/20 gbhackers — Cloudflare の Web Application Firewall (WAF) に存在する深刻なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジン・サーバへ直接アクセスできてしまう状況が生じていた。2025年10月9日に FearsOff のセキュリティ研究者たちは、特定の証明書検証パスを標的としたリクエストにより、設定した WAF ルールを完全に回避できることを発見した。これらのルールは、不正なトラフィックを遮断するために設計されたものである。

Apache bRPC の脆弱性 CVE-2025-60021 が FIX：リモート・コマンド・インジェクションの可能性

Apache bRPC Vulnerability Enables Remote Command Injection

2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。

PDFSIDER マルウェアの積極的に悪用を確認：DLL サイドローディングによる EDR 回避

PDFSIDER Malware Actively Exploited to Evade Antivirus and EDR Defenses

2026/01/19 gbhackers — DLL サイドローディングを介して、Endpoint Detection and Response (EDR) システムを回避する、高度なバックドア型マルウェア亜種 PDFSIDER を、Resecurity のセキュリティ研究者たちが特定した。この脅威が示唆するのは、高度持続的脅威 (APT：Advanced Persistent Threat) のテクニックであり、回避メカニズムと暗号化された C2 (Command and Control) を組み合わせることで、侵害したシステムに対する秘匿的なアクセスを維持するものだ。

Windows Kerberos リレー攻撃の危険性：DNS CNAME ポイズニングの PoC エクスプロイトが登場

New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released

2026/01/19 CyberSecurityNews — Windows Kerberos 認証に存在する深刻な脆弱性 CVE-2026-20929 により、Active Directory 環境における資格情報リレー攻撃にさらされる領域が大幅に拡大している。Windows クライアントが Kerberos サービス・チケットをリクエストするときの、DNS CNAME レスポンス処理の方法を悪用する攻撃者は、自身が制御するサービス向けのチケット・リクエストをシステムに対して強制し、従来の防御策を回避することが可能になる。

Livewire Filemanager の脆弱性 CVE-2025-14894：Web アプリへの RCE 攻撃の恐れ

Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks

2026/01/19 CyberSecurityNews — Livewire Filemanager で発見されたのは、Laravel Web アプリケーションで利用されるファイル管理コンポーネントに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2025-14894 である。この脆弱性は、脆弱性ノート VU#650657 が割り当てられており、未認証の攻撃者に対して脆弱なサーバ上での任意のコード実行を許すものである。

Google Gemini の深刻な欠陥：間接プロンプト・インジェクションによる Calendar データ漏洩

Google Gemini AI Tricked Into Leaking Calendar Data via Meeting Invites

2026/01/19 hackread — 生活を便利にするために設計された AI アシスタントであるが、新たな調査により明らかになったのは、単純なミーティングの招待でさえトロイの木馬として悪用されるリスクである。Google Gemini が Google Calendar と連携する仕組みに存在する深刻な欠陥が、Miggo Security の研究者により判明した。この欠陥を悪用する攻撃者は、通常に見える招待を送信するだけで AI を巧妙に欺き、ユーザーの個人データを窃取することが可能となる。

CrashFix マルウェア・キャンペーン：悪意のエクステンションによる偽ブラウザ警告表示の手法

CrashFix – Hackers Using Malicious Extensions to Display Fake Browser Warnings

2026/01/19 CyberSecurityNews — サイバーセキュリティ研究者が発見したのは、異例ではあるが効果的な戦術を用いる高度なマルウェア・キャンペーンである。このキャンペーンは、ユーザーのブラウザを意図的にクラッシュさせる手法を中核としている。この脅威は CrashFix と命名されており、正規の広告ブロッカー NexShield を装った悪意の Chrome エクステンションを通じて配布されている。ユーザーがオンラインでプライバシー・ツールを検索すると、悪意の広告により、Chrome Web Store 上で信頼できそうに見えるエクステンションのダウンロードへと誘導される。

ServiceNow の脆弱性 CVE-2025-12420 を解析：Agent コンフィグの不備による SSO 回避

New “BodySnatcher” Flaw Allows Full ServiceNow User Impersonation

2026/01/19 gbhackers — ServiceNow の Virtual Agent API／Now Assist AI Agents に存在する深刻な脆弱性 CVE-2025-12420 の追跡調査が進められている。セキュリティ研究者により公表されたこの脆弱性は BodySnatcher と命名されており、未認証の攻撃者がメールアドレスのみを使用して任意の ServiceNow ユーザーになりすますことを可能にする。その結果、多要素認証 (MFA)／シングルサインオン (SSO) の制御が回避され、特権を持つ AI ワークフローの実行／バックドア管理者アカウントの作成が可能となる。

Chrome 侵害キャンペーン：複数の悪意の Extension で持続的な連携攻撃を展開

Five Chrome Extensions Used to Hijack Enterprise HR and ERP Systems

2026/01/19 gbhackers — Socket の Threat Research Team は、Workday／NetSuite／SAP SuccessFactors などのエンタープライズ向け HR／ERP プラットフォームを標的とする、組織的かつ連携型の Chrome エクステンションを用いた一連の攻撃活動を発見した。確認された 5 件の悪意のエクステンションは、合計で 2,300 回以上インストールされており、相互に連携することでセッション・トークンの窃取／セキュリティ制御の遮断／セッション・ハイジャックを通じた完全なアカウントの乗っ取りを可能にしている。

StealC マルウェア管理パネルに XSS の脆弱性：脅威アクターの活動が解析可能に

Security Bug in StealC Malware Panel Let Researchers Spy on Threat Actor Operations

2026/01/19 TheHackerNews — 情報窃取マルウェア StealC の運用者が使用する Web ベース管理パネルに、クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、サイバーセキュリティ研究者たちが明らかにした。この脆弱性を通じて研究者たちは、StealC を運用する脅威アクターの活動に関する重要な情報を収集できた。先週公開されたレポートにおいて CyberArk の研究者 Ari Novick は、「この脆弱性を活用することで、StealC システムのフィンガープリントを収集し、アクティブなセッションを監視し、さらに情報窃取を目的として設計された悪意のインフラから、脅威アクター自身の Cookie を窃取することに成功した」と述べている。

Windows SMB の脆弱性 CVE-2025-33073：認証リレー攻撃による Active Directory 侵害の可能性

Windows SMB Client Vulnerability Enables Attacker to Own Active Directory

2025/01/19 CyberSecurityNews — Windows SMB クライアント認証における深刻な脆弱性を介したNTLM リフレクションの悪用により、Active Directory 環境が侵害される可能性がある。この脆弱性 CVE-2025-33073 は不適切なアクセス制御に分類され、ネットワーク接続上で精巧に構成された認証リレー攻撃を用いる認可済みの攻撃者に対して、権限昇格を許す可能性がある。2025年6月のセキュリティパッチ公開から、すでに 7ヶ月が経過しているが、エンタープライズ・インフラ全体で適用が進んでいない状況が確認されている。

Redis の脆弱性 CVE-2025-62507：RCE エクスプロイトの可能性を JFrog が実証

JFrog Researchers Uncover RCE Exploit for Existing Redis Database Vulnerability

2026/01/17 SecurityBoulevard — 今週、Redis データベースに存在する脆弱性 CVE-2025-62507 の分析結果が公開された。この脆弱性に対するリモートコード実行 (RCE) エクスプロイトへの経路が発見され、当初の想定よりも深刻である可能性が示されている。複数の ID を指定して XACKDEL コマンドを実行することでスタック・オーバーフローが引き起こされ、結果としてリモートコード実行 (RCE) に至る可能性があることが、JFrog の研究者たちにより明らかにされた。

NTLMv1 Admin パスワード・ハッキング：Mandiant の Rainbow Table による検証が不可欠

Mandiant Releases Rainbow Tables Enabling NTLMv1 Admin Password Hacking

2026/01/17 CyberSecurityNews — Google 傘下の Mandiant が公開したのは、Net-NTLMv1 向けの包括的な Rainbow Table データセットである。それにより、レガシー認証プロトコルが抱えるセキュリティ・リスクの実証が大幅に推進されることになる。このデータセットにより Mandiant が強調するのは、Net-NTLMv1 から直ちに移行する必要があるという、ユーザー組織に対する緊急のメッセージである。Net-NTLMv1 は、1999 年の時点で暗号学的に破られており、遅くとも 2012 年からは安全でないことが広く知られている、非推奨のプロトコルである。

Meta Conversions API Gateway における 2 件の深刻な脆弱性：アカウント乗っ取りの可能性

Critical XSS Vulnerabilities in Meta Conversion API Enable Zero-Click Account Takeover

2026/01/17 gbhackers —Meta の Conversions API Gateway に存在する、2 件の深刻なクロスサイト・スクリプティング (XSS) 脆弱性がセキュリティ研究者たちにより発見された。これらの欠陥を悪用する攻撃者は、ユーザー操作を一切必要とせずに Facebook アカウントの大規模な乗っ取りが可能となる。この脆弱性は、Meta 管理下ドメインである “facebook.com” や “meta.com” に影響するだけではなく、オープンソースの Gateway インフラをデプロイしている、最大 1 億件とも言われるサードパーティ環境にも波及する可能性がある。

Google Vertex AI デフォルト・コンフィグによるセキュリティ・リスク：Service Agent ロールの不正取得

Google’s Vertex AI Vulnerability Enables Low-Privileged Users to Gain Service Agent Roles

2026/01/17 CyberSecurityNews — Google Vertex AI のデフォルト・コンフィグには、低権限ユーザーが Service Agent ロールを乗っ取ることで権限昇格を可能にしてしまう問題が存在する。XM Cyber の研究者により、Vertex AI Agent Engine／Ray on Vertex AI における 2 つの攻撃ベクターが特定されているが、Google はこれらを「想定された動作 (Working as Intended)」と位置付けており、防御責任はユーザー側にあるとの見解を示している。

GhostPoster エクステンションの長期潜伏キャンペーン：840,000 件のブラウザ・マルウェアを検出

GhostPoster Browser Malware Hid for 5 Years With 840,000 Installs

2026/01/16 hackread — 単一のブラウザ・エクステンションにおけるインシデントとして始まった事象は、多くのユーザーが予期しない大規模なサイバーセキュリティ上の懸念へと発展している。2025年12月に Koi Security が公開した分析結果によると、GhostPoster と名付けられた Firefox エクステンションは、ブラウザ・エクステンションの審査担当者が通常確認する警告サインを回避する悪意ある手法を採用していたことが明らかになった。

Modular DS WordPress プラグインの脆弱性 CVE-2026-23550 が FIX：積極的な悪用を確認

Actively exploited critical flaw in Modular DS WordPress plugin enables admin takeover

2026/01/16 SecurityAffairs — WordPress の Modular DS WordPress プラグインに存在する深刻な脆弱性 CVE-2026-23550 (CVSS 10) が、脅威アクターにより積極的に悪用されている。この脆弱性はバージョン 2.5.1 以下に影響し、認証チェックをバイパスして管理者として自動ログインすることを可能にするものである。これにより、攻撃者は Web サイトの完全な制御権を掌握できる。

Cisco Email Gateway の脆弱性 CVE-2025-20393：APT による積極的な悪用を観測

Cisco 0-Day RCE Secure Email Gateway Vulnerability Exploited in the Wild

2026/01/16 CyberSecurityNews — Cisco が認めたのは、Secure Email Gateway／Secure Email and Web Manager アプライアンスにおける深刻なゼロデイ・リモートコード実行の脆弱性が、実環境で悪用されている状況である。この脆弱性 CVE-2025-20393 を悪用する未認証の攻撃者は、スパム隔離機能に対する細工された HTTP リクエストを介して、ルート権限での任意のコマンド実行を可能にする。

Go 1.25.6 がリリース：メモリ枯渇／不適切なセッション管理／認証バイパスの問題などに対処

Go 1.26 Released With Fixes for Multiple Vulnerabilities Causing Memory Exhaustion

2026/01/16 gbhackers — Go 開発チームが公表したのは、サービス拒否攻撃／任意のコード実行／不正なセッション再開を引き起こす可能性のある、６件の深刻なセキュリティ脆弱性を修正するバージョン 1.25.6／1.24.12 のリリースである。これらのマイナー・アップデートは Go セキュリティ・ポリシーに準拠しており、暗号化／ネットワーク／ツールチェーンといったコア・コンポーネント全体をカバーする重要な強化が含まれている。

Cal.com の脆弱性 CVE-2026-23478 が FIX：認証バイパスと任意のユーザー・アカウント乗っ取り

Critical Cal.com Vulnerability Let Attackers Bypass Authentication and Hijack any User Account

2026/01/15 CyberSecurityNews — Cal.com のスケジュール管理プラットフォームに、深刻な認証バイパスの脆弱性が発見された。この脆弱性 CVE-2026-23478 を悪用する攻撃者は、NextAuth JWT コールバック機構の欠陥を悪用することで、任意のユーザー・アカウントを乗っ取ることが可能になる。この脆弱性は、バージョン 3.1.6 〜 6.0.7 未満に影響を及ぼし、バージョン 6.0.7 以降で修正されている。

HPE Aruba Instant On の複数の脆弱性が FIX：機密情報の不正取得や DoS 攻撃の恐れ

HPE Aruba Vulnerabilities Enables Unauthorized Access To Sensitive Information

2026/01/15 gbhackers — HPE が公表したのは、HPE Aruba Networking Instant On デバイスに存在する複数の深刻な脆弱性に対するセキュリティ・パッチのリリースである。これらの脆弱性を悪用するリモート攻撃者は、内部 VLAN コンフィグ・データの窃取／ワイヤレス・ネットワークの妨害／機密ネットワーク情報の不正取得を行う可能性がある。一連の脆弱性が影響を及ぼす範囲は、Instant On アクセス・ポイントおよび 1930 スイッチのソフトウェア・バージョン 3.3.1.0 以下であり、修正はバージョン 3.3.2.0 以降で提供されている。

Fortinet FortiSIEM の RCE 脆弱性 CVE-2025-64155 が FIX：PoC の公開と積極的な悪用

Fortinet FortiSIEM Vulnerability CVE-2025-64155 Actively Exploited in Attacks

2026/01/15 CyberSecurityNews — Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が、現在も実環境で積極的に悪用されていることが、Defused によるハニーポット展開の結果として確認された。この脆弱性が未認証のリモート攻撃者に悪用された場合には、深刻な OS コマンド・インジェクションにより、認証不要のリモート・コード実行 (RCE) を許す恐れがあるため、企業のセキュリティ監視基盤に深刻なリスクが生じている。

AWS CodeBuild のミスコンフィグ：GitHub リポジトリ侵害とサプライチェーン攻撃

AWS CodeBuild Misconfiguration Exposed GitHub Repos to Potential Supply Chain Attacks

2026/01/15 TheHackerNews — Amazon Web Services (AWS) の CodeBuild における深刻なミスコンフィグにより、AWS JavaScript SDK を含むクラウドサービス・プロバイダー独自の GitHub リポジトリが完全に乗っ取られ、すべての AWS 環境が危険にさらされるという可能性があった。この脆弱性は、クラウド・セキュリティ企業 Wiz により CodeBreach というコードネームで呼ばれている。この脆弱性は、2025年8月25日の責任ある情報開示を受け、2025年9月に AWS により修正された。

Azure SSO の深刻な脆弱性 CVE-2026-20965 が FIX：Windows Admin Center 全体への侵害の恐れ

Azure Identity Token Vulnerability Enables Tenant-Wide Compromise in Windows Admin Center

2026/01/15 CyberSecurityNews — Windows Admin Center の Azure Single Sign-On (SSO) 実装に、深刻度の高い脆弱性 CVE-2026-20965 が発見された。それにより、Azure VM および Arc 接続システムが、テナント全体にわたる不正アクセスのリスクにさらされている。この脆弱性が示すのは、不適切なトークン検証により、個々のマシンと Azure 環境全体との間に存在すべきセキュリティ境界が崩壊する恐れである。

Palo Alto Networks Firewall の脆弱性 CVE-2026-0227：DoS 攻撃と PoC の登場

Palo Alto Networks Firewall Vulnerability Allows Attacker to Trigger DoS Attacks

2026/01/15 CyberSecurityNews — Palo Alto Networks が 2026年1月14日に公表したのは、PAN-OS ファイアウォール・ソフトウェアに存在する深刻なサービス拒否 (DoS) の脆弱性 CVE-2026-0227 (CVSS v4.0：7.7：HIGH) の修正に関する情報である。この脆弱性を悪用する未認証の攻撃者は、GlobalProtect (VPN) のゲートウェイおよびポータルに対する妨害を引き起こせる。

偽の PayPal 警告に御用心：従業員の個人情報窃取から企業の侵害へとエスカレート

Hackers Use Fake PayPal Notices to Steal Credentials, Deploy RMMs

2026/01/15 InfoSecurity — 正規の Remote Monitoring and Management (RMM) ツールを悪用し、フィッシングによる侵入を試みる新たなキャンペーンが検出された。この攻撃者は、偽の PayPal アラートを介して、個人および企業へのアクセスを取得している。1月13日 (火) に Cyberproof が公開したアドバイザリによると、この活動は季節的にタイムリーなルアーから、緊急性の高い金融関連テーマへの移行を示しているという。信頼されるリモートアクセス・ソフトウェアが、検出回避のために依然として武器化されている状況を浮き彫りにしている。

CISA KEV 警告 26/01/13：Windows の脆弱性 CVE-2026-20805 を登録

U.S. CISA adds a flaw in Microsoft Windows to its Known Exploited Vulnerabilities catalog

2026/01/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Windows の脆弱性 CVE-2026-20805 (CVSS：5.5) を、Known Exploited Vulnerabilities (KEV) に登録した。Microsoft の 2026年1月の Patch Tuesday では、Windows／Office／Azure／Edge／SharePoint／SQL Server／SMB／Windows 管理サービスに影響を与える 112 件の CVE がリリースされた。サードパーティ製の Chromium 修正プログラムを含めると、脆弱性の総数は 114 件となる。

LLM がランサムウェアを強化：攻撃の速度／規模／範囲が大きく変化している

LLMs Supercharge Ransomware Speed, Scale, and Global Reach

2026/01/14 gbhackers — LLM は、ランサムウェア攻撃を根本から変革するものではない。しかし、攻撃の速度／規模／多言語対応能力といった点での進化により、脅威のランドスケープを大幅に加速させている。SentinelLABS の調査によると、偵察／フィッシング／ツール支援、データトリアージ／身代金交渉といった複数の工程で攻撃者は LLM を活用しており、より高速でノイズの多い脅威環境を形成している。それにより防御側にとっては、新たな脅威に対する迅速な対応が不可欠となっている。

Elastic の脆弱性 CVE-2026-0530／0531／0532／0543 が FIX：任意のファイル窃取／ DoS 攻撃の恐れ

Elastic Patches Multiple Vulnerabilities That Enables Arbitrary File Theft and DoS Attacks

2026/01/14 CyberSecurityNews — Elastic がリリースした重要なセキュリティ・アップデートは、スタック全体に影響を及ぼす 4 件の脆弱性に対処するものである。このアップデートには、悪意のコネクタ・コンフィグを通じて任意のファイル漏洩を引き起こし得る High の深刻度を持つ欠陥が含まれている。Kibana および関連コンポーネントにおける、ファイル処理／入力検証／リソース割り当てメカニズムの問題を、このアップデートにより修正した。