IoT OT Security News

Veeam の複数の深刻な脆弱性が FIX：リモートコード実行や権限昇格の恐れ

Veeam Patches Multiple Critical RCE Vulnerabilities on Backup Server

2026/03/13 CyberSecurityNews — Veeam が公表したのは、Backup & Replication ソフトウェアに存在する深刻な脆弱性を修正する重要なセキュリティ・アップデートである。これらの欠陥を悪用する攻撃者は、リモートコード実行や権限昇格を可能にする恐れがある。2026年03月12日に公開された最新セキュリティ・パッチ (Build 12.3.2.4465) は、バックアップ・インフラを脅威から保護するために、管理者にとって必須のアップデートである。Veeam バックアップ・ソフトウェアに対する修正の継続的な適用は、現代のインフラ・セキュリティにおける重要な要素である。

Chrome 2件のゼロデイ CVE-2026-3909／3910 が FIX：実環境での悪用を確認

Two Newly Discovered Chrome Zero-Days Exploited in the Wild to Run Malicious Code

2026/03/12 gbhackers — Google が公表したのは、Chrome デスクトップ・ブラウザに存在する 2 件の深刻なゼロデイ脆弱性に対する、緊急セキュリティ・アップデートである。それらの脆弱性 CVE-2026-3909／CVE-2026-3910 は、いずれも深刻度 High に分類されており、実際の攻撃での悪用が確認されている。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、コード実行やシステム侵害から保護することだ。

Microsoft Copilot の脆弱性 CVE-2026-26133 が FIX：Email／Teams 要約を介したフィッシング

Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks

2026/03/12 CyberSecurityNews — AI アシスタントにより、日常の業務が急速に変革されている。それにより、大量のメール・インボックス管理／クライアント・コミュニケーション／インシデント・レスポンスを担当するチームの作業が効率化されている。Microsoft Copilot のようなツールが、日常のワークフローに直接統合され、Microsoft 365 エコシステム全体からコンテキストを取得しながら、メールやミーティングの内容を要約する。しかし、多くの組織が防御準備を整えていないため、この利便性による新たなセキュリティ境界の問題が生じている。

GitLab CE/EE の複数の脆弱性が FIX：深刻な XSS や API DoS 攻撃の問題に対処

GitLab Security Update – Patch for XSS and API DoS Vulnerabilities

2026/03/12 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)／Enterprise Edition (EE) に存在する広範な脆弱性へ対応する緊急セキュリティ・アップデートである。新たに公開されたバージョン 18.9.2／18.8.6／18.7.6 は、深刻度 High の Cross-Site Scripting (XSS) および Denial-of-Service (DoS) 欠陥を含む、合計 15 件のセキュリティ問題を修正するものだ。

Palo Alto Cortex XDR Broker の脆弱性 CVE-2026-0231 が FIX：機密情報の漏洩／改竄の恐れ

Palo Alto Cortex XDR Broker Vulnerability Exposes Systems to Sensitive Information Theft and Modification

2026/03/12 gbhackers — Palo Alto Networks が公開したのは、Cortex XDR Broker Virtual Machine (VM) で新たに発見された脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2026-0231 (Medium) を悪用する脅威アクターは、機密のシステム情報へのアクセスや変更を可能にする。Broker VM は、オンプレミスのネットワーク資産と、クラウド・ベースの Cortex XDR platform を接続する、重要なブリッジとして機能するものだ。そのため、このコンポーネントの保護は、組織全体の防御体制の維持にとって極めて重要である。

Cisco IOS XR の脆弱性 CVE-2026-20040／20046 が FIX：root でのコマンド実行と管理者権限の取得

Cisco IOS XR Software Vulnerability Allow Attacker to Execute Commands as Root

2026/03/12 CyberSecurityNews — Cisco が公開したのは、IOS XR Software に存在する 2 件の特権昇格の脆弱性 CVE-2026-20040／CVE-2026-20046 (High) に関するセキュリティ・アドバイザリである。これらの脆弱性を悪用する認証済みのローカル攻撃者は、影響を受けるルーティング・デバイスにおいて、root としての任意のコマンド実行の可能性と、完全な管理者権限を取得する可能性を得る。

Splunk の RCE 脆弱性 CVE-2026-20163 が FIX：REST API における適切なサニタイズ

Splunk RCE Vulnerability Exposes Systems to Arbitrary Shell Command Execution by Attackers

2026/03/12 gbhackers — Splunk の Enterprise／Cloud Platform で発見された、深刻度 High のリモートコード実行 (RCE) の脆弱性は、システムに深刻なセキュリティ・リスクを招くものだ。この脆弱性 CVE-2026-20163 (CVSS：8.0) を悪用する脅威アクターは、ホスト・オペレーティング・システム上で、任意のシェル・コマンド実行の可能性を得る。このバグは、エンタープライズ・ソフトウェアにおける、入力値の不適切な無害化 (CWE-77) の危険性を示すものだ。

CISA KEV 警告 26/03/09：SolarWinds Web Help Desk の脆弱性 CVE-2025-26399 を KEV カタログへ登録

SolarWinds Web Help Desk Deserialization Vulnerability Enables Command Execution

2026/03/12 CyberSecurityNews — SolarWinds Web Help Desk に存在する深刻なセキュリティ脆弱性について、サイバーセキュリティ当局は警告を発し、システム管理者に対して直ちに対応するよう呼びかけている。脆弱性 CVE-2025-26399 を悪用する攻撃者は、ホスト・マシン上で不正なコマンドを直接実行する可能性を得る。この脆弱性は、連邦政府機関内での悪用が確認されていることから、米国 Cybersecurity and Infrastructure Security Agency (CISA) は Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。

Google が Chrome 146 を正式リリース：リモート・コード実行などの 29 件の脆弱性を修正

Chrome Security Update – Patch for 29 Vulnerabilities that Allow Remote Code Execution

2026/03/12 CyberSecurityNews — Google は Chrome のバージョン 146 を正式リリースし、Windows／Mac／Linux ユーザー向けのステイブル・チャネルでアップデートの提供を開始した。今後の数日以内に展開されるのは、Linux 向け Chrome 146.0.7680.71、Windows／Mac 向け 146.0.7680.71 および 146.0.7680.72 であり、29 件のセキュリティ脆弱性に対処するものだ。これらの脆弱性が、修正されないまま放置されると、リモート攻撃者による任意コード実行／システム整合性の侵害／サービス拒否 (DoS) を招く恐れがある。

Microsoft Office の RCE 脆弱性 CVE-2026-26110 が FIX：タイプ・コンフュージョンに起因

Critical Vulnerability in Microsoft Office Allows Malicious Code to Run Remotely

2026/03/11 gbhackers — 2026年3月10日の Patch Tuesday で Microsoft が公開したのは、Office スイートに存在する深刻なセキュリティ脆弱性 CVE-2026-26110 の情報である。このリモート・コード実行 (RCE) の脆弱性 (CVSS：8.4) は、Office ソフトウェアに依存する組織／個人にとって重大な脅威となる。企業ユーザーにおいては、IT 管理者／セキュリティ・チームによる迅速な対応が求められる。

Microsoft AD DS の脆弱性 CVE-2026-25177 が FIX：Unicode SPN 偽装による SYSTEM 権限奪取

Microsoft Active Directory Domain Services Vulnerability Let Attackers Escalate Privileges

2026/03/11 CyberSecurityNews — 2026年3月10日 Patch Tuesday で、Active Directory Domain Services (AD DS) に存在する深刻な脆弱性 CVE-2026-25177 (CVSS：8.8：Important) が公開された。この脆弱性は、ファイル名およびリソース名に対する不適切な制限 (CWE-641) に起因し、認証済みのネットワーク攻撃者に権限昇格を許容するものである。

AWS Admin アクセスを npm パッケージを介して 72 時間で奪取：UNC6426 の手口とは？

UNC6426 Hackers Exploit NPM Package to Gain AWS Admin Access in 72 Hours

2026/03/11 gbhackers — UNC6426 ハッキング・グループは、通常の npm 更新を 72時間以内で、AWS 管理者権限奪取へと直結させた。このインシデントは、ロールが過剰権限で設定された場合に、CI/CD とクラウドの間の信頼関係が、きわめて脆弱化する状況を示している。具体的に言うと、開発者がコードエディタ・プラグイン経由で、影響を受けるパッケージを更新またはインストールした際に、ワークステーション上でポストインストール・スクリプトが密かに実行されるという状況が発生した。

Microsoft .NET のゼロデイ DoS 脆弱性 CVE-2026-26127 が FIX：境界外読み込みによるクラッシュ

Microsoft .NET 0-Day Vulnerability Enables Denial-of-Service Attacks

2026/03/11 CyberSecurityNews — .NET の脆弱性 CVE-2026-26127 (CVSS：7.5：Important) は、2026年3月の Patch Tuesday でゼロデイとして公開されたものである。この脆弱性を悪用する未認証のリモート攻撃者は、ネットワーク経由で Denial-of-Service (DoS) 状態を引き起こせる。Windows／macOS／Linux 上の複数の .NET バージョンが影響を受けるため、管理者は公式パッチを速やかに適用する必要がある。

AI 駆動の環境適応型マルウェア：オンデマンドで悪意のコードやコマンドを生成 – Google 調査

Google Warns of AI‑Driven Adaptive Malware Rewriting Its Own Code

2026/03/11 gbhackers — 2025年の脅威アクターたちは、人工知能の試験的利用から実運用への本格統合へと移行し、サイバー・セキュリティの状況を大きく変化させている。Google Threat Intelligence Group (GTIG) と Mandiant の新たな分析によると、いまの攻撃者たちは、動的に挙動を変更する適応型マルウェアや、自律型 AI エージェントを展開している。それにより、サイバー脅威の速度／規模／複雑性が著しく増大している。

Microsoft SQL のゼロデイ CVE-2026-21262：最高管理者レベルへの権限昇格

Microsoft SQL Server Zero-Day Vulnerability Allows Attackers to Escalate Privileges

2026/03/11 CyberSecurityNews — 2026年3月10日の Microsoft Patch Tuesday で、SQL Server に存在する深刻なゼロデイ脆弱性 CVE-2026-21262 (CVSS v3.1：8.8：Important) が公開された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデータベース・システム上の最高管理者レベルへの権限の昇格が可能となる。すでに情報が公開されている脆弱性であるため、エンタープライズ環境で SQL Server を運用する組織は深刻なリスクに直面している。

FortiManager fgtupdates の脆弱性 CVE-2025-54820 が FIX：悪意のコマンド実行の恐れ

Fortinet FortiManager fgtupdates Vulnerability Allows Attackers to Execute Malicious Commands

2026/03/10 CyberSecurityNews — Fortinet が公開したのは、FortiManager プラットフォームに存在する深刻なスタックバッファ・オーバーフローの脆弱性 CVE-2025-54820 の情報である。この脆弱性を悪用する未認証のリモート攻撃者は、不正なコマンドを実行する可能性を得る。この脆弱性 CVE-2025-54820 (CVSSv3：7.0) は、FortiManager を運用するエンタープライズ・ネットワーク管理環境内の、影響を受けるバージョンに対して深刻なリスクをもたらす。

Gogs の脆弱性 CVE-2026-25921 が FIX：未認証ユーザーによる LFS データ改竄の恐れ

Gogs Flaw Could Let Attackers Quietly Overwrite Large File Storage Data

2026/03/10 gbhackers — オープンソースのセルフホスト型 Git サービスである Gogs において、深刻なセキュリティ脆弱性が確認された。この CVE-2026-25921 (CVSS：9.3) を悪用する未認証の脅威アクターは、任意のリポジトリの Git Large File Storage (LFS) オブジェクトを密かに上書きできる。コンテンツ検証の欠如を悪用する脅威アクターは、ステルス型のソフトウェア・サプライチェーン攻撃を実行し、正規のプロジェクト・ファイルをバックドアへと置き換えることが可能になる。

Ivanti DSM の脆弱性 CVE-2026-3483 が FIX：権限昇格を許す恐れ

Ivanti Desktop and Server Management Vulnerability Allows Attackers to Escalate Privileges

2026/03/10 CyberSecurityNews — Ivanti が公開したのは、Desktop and Server Management (DSM) ソフトウェアのセキュリティ更新である。この脆弱性を悪用するローカルで認証済みの攻撃者は、影響を受けるシステム上で権限の昇格を達成する。この脆弱性 CVE-2026-3483 (CVSS：7.8) が影響を及ぼす範囲は、DSM 2026.1 以下の全バージョンである。

SAP の 2026年3月 Patch Day：未検出だった Log4j CVE-2019-17571 などに対応

SAP Security Update – Patch for Multiple Vulnerabilities that Enable Remote Code Execution

2026/03/10 CyberSecurityNews — SAP は 2026年3月 Patch Day において、15件の新規 Security Note を公開した。そこには、Remote Code Execution および完全なシステム侵害につながる可能性のある、2件の Critical 脆弱性が含まれる。すべての顧客に対して SAP が強く推奨するのは、Support Portal を確認し、迅速にパッチを適用することである。最も深刻な脆弱性は CVE-2019-17571 (CVSS 9.8) であり、SAP Quotation Management Insurance (FS-QUO 800) に影響する。

Purple Team 分析レポートが公開：160 件の演習と 8,300 件の TTP 分析から見る防御の優先事項

Security Risk Advisors Releases “The Purple Perspective 2026” Report

2026/03/10 hackread — Security Risk Advisors (SRA) は、初のレポート “The Purple Perspective 2026” を公開した。この包括的な分析は、厳選された攻撃手法に対する検知／防御を実環境で検証し、サイバー・セキュリティ防御を強化するための実践的な知見と示唆を提供するものである。このレポートは、160 件以上の Purple Team 演習の実施と、8,300 件以上の Tactics, Techniques, and Procedures (TTP) の検証に基づいている。現時点での防御の実践に対する独自の視点を提示し、ユーザー組織のパフォーマンス・ベンチマークを業界を横断して実施するとともに、改善領域の特定を目的としている。

Ericsson 米国法人がデータ侵害を公表：サービス・プロバイダー侵害で従業員／顧客データ漏洩の恐れ

Ericsson US confirms breach after third-party provider attack

2026/03/10 SecurityAffairs — スウェーデンに本社を持つ通信大手 Ericsson Inc. は、ハッキングを受けたサービス・プロバイダーから、データ漏洩が発生したと公表した。この攻撃により、従業員や顧客の個人情報が漏洩し、多数の個人が影響を受けている。

Microsoft 2026-03 月例アップデート：2 件のゼロデイを含む 79 件の脆弱性に対応

Microsoft March 2026 Patch Tuesday fixes 2 zero-days, 79 flaws

2026/03/10 BleepingComputer — 今日は Microsoft の 2026年3月 Patch Tuesday の日であり、合計で 79件の脆弱性に対するセキュリティ更新が公開された。そこには、2件の公開済みゼロデイ脆弱性が含まれる。今回の更新では、3件の Critical 脆弱性も修正されており、そのうち 2件は Remote Code Execution (RCE) に、1件は Information Disclosure に分類される。

Anthropic が米国政府を訴えた：サプライチェーン・リスク指定の撤回と大統領権限の逸脱を主張

Anthropic Sued the U.S. Government for Labelling Claude as ‘Supply Chain Risk’

2026/03/10 CyberSecurityNews — 人工知能分野の企業である Anthropic は、米国政府による “サプライチェーン・リスク指定” を受け、前例のない訴訟を提起した。この訴訟は、3月9日 (月) にカリフォルニア州連邦裁判所へ提出され、ドナルド・トランプ政権と、ピート・ヘグセス国防長官、そして 16 の連邦機関を相手取るものである。

Cloudflare Pingora の脆弱性 CVE-2026-2833／2835／2836 が FIX：リクエスト・スマグリングなどに対応

Cloudflare Pingora Flaws Enable Request Smuggling and Cache Poisoning Attacks

2026/03/10 gbhackers — Cloudflare が公表したのは、同社のオープンソース・フレームワーク Pingora に存在する、複数の HTTP リクエスト・スマグリングとキャッシュ・ポイズニングの脆弱性を修正する、最新のセキュリティ・アドバイザリである。それらの脆弱性 CVE-2026-2833／CVE-2026-2835／CVE-2026-2836 が影響を及ぼす範囲は、インターネットへ直接公開されたスタンドアロンの Pingora デプロイメント (ingress proxy) となる。

CISA KEV 警告 26/03/09：SolarWinds／Ivanti／Omnissa の脆弱性を登録

CISA Flags SolarWinds, Ivanti, and Workspace One Vulnerabilities as Actively Exploited

2026/03/10 TheHackerNews — 3月9日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性は、SolarWinds Web Help Desk／Ivanti Endpoint Manager／Omnissa Workspace One UEM に存在するもので、連邦政府内での悪用が確認されている。

Fortinet 製品群の脆弱性 11件が FIX：FortiSwitchAXFixed／FortiManager に深刻な影響

Fortinet Security Update – Patch for Multiple Vulnerabilities That Enable Malicious Command Execution

2026/03/10 CyberSecurityNews — Fortinet が 2026年3月10日に公開したのは、FortiManager ／FortiAnalyzer／FortiSwitchAXFixed／FortiSandbox などの、中核となるエンタープライズ製品群に影響を及ぼす 11件の脆弱性に対処する包括的なセキュリティ・アドバイザリである。これらの脆弱性を悪用するリモート攻撃者は、認証バイパス／バッファ・オーバーフロー／OS コマンド・インジェクション／SQL インジェクション／任意のコマンド実行／権限昇格を可能にする。

Vaultwarden の脆弱性 CVE-2026-27802／27803 が FIX：権限昇格とデータ漏洩の可能性

Vaultwarden Vulnerabilities Enable Privilege Escalation and Data Exposure

2026/03/09 gbhackers — Bitwarden 互換として、Rust 言語で実装された代替ソリューション Vaultwarden に、2件の深刻な脆弱性が発見された。脆弱性 CVE-2026-27803 (CVSS：8.3 High)／CVE-2026-27802 (CVSS：8.3 High) を悪用する攻撃者は、侵害済みの Manager アカウントを介して、認可チェックの回避と権限の昇格を行い、保存済みの機密認証情報を漏洩させる可能性がある。

Apache ZooKeeper の脆弱性 CVE-2026-24308／24281 が FIX：機密ログの漏洩とサーバなりすましの恐れ

Apache ZooKeeper Flaw Exposes Sensitive Data to Attackers

2026/03/09 gbhackers — 分散システムにおけるコンフィグ情報の命名と管理に使用される、集中型サービス Apache ZooKeeper に、重要なセキュリティ更新が提供された。 Apache Software Foundation によると、本番環境において機密データの漏洩やサーバなりすましを引き起こす可能性がある、2 件の Important レベルの脆弱性 CVE-2026-24308／CVE-2026-24281 が対処されたという。

AI ツールを装う Chrome エクステンション：企業データを大量収集していると Microsoft が警告

Microsoft: Fake AI Extensions Breached Chat Histories in 20,000+ Enterprise Tenants

2026/03/09 gbhackers ‐‐‐ 正規の AI アシスタント・ツールを装う、悪意の Chromium ベースのブラウザ・エクステンションの大規模な配布を、Microsoft が確認し、警告を発している。ChatGPT や DeepSeek に関連する一連のエクステンションは、Chrome Web Store で公開され、Google Chrome／Microsoft Edge の両方に対応している。しかし実際には、ブラウザ内の機密データおよび AI チャット内容を秘密裏に収集するものである。

CISA KEV 警告 26/03/05：Apple macOS／iOS などにおける複数の脆弱性を登録

CISA Warns of macOS and iOS Vulnerabilities Exploited in Attacks

2026/03/09 CyberSecurityNews — 2026年3月5日に CISA は、macOS／iOS／iPadOS などの Apple 製品に影響する 3 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この追加は、脅威アクターが実環境でこれらの欠陥を悪用していることを示すものであり、ネットワーク防御担当者に対する警告である。サイバー・リスクを管理する組織にとっては、即時のパッチ適用が最優先事項となる。

API と AI のセキュリティ相関性：長年にわたり放置されてきた弱点が AI の拡大により露呈

Report Surfaces Higher Correlation Between API and AI Security

2026/03/09 SecurityBoulevard — Wallarm の “2026 API ThreatStats Report” によると、2025年に公開された 67,058件の脆弱性を分析した結果として、11,053件 (17%) が API (Application Programming Interface) に関連していたことが判明した。また、CISA が管理する Known Exploited Vulnerabilities (KEV) カタログに、2025年を通じて追加された脆弱性の 43% が API 関連であったことも、このレポートは指摘している。

Transparent Tribe の “vibeware”：AI 支援により大量生産されるマルウェアの脅威とは？

Transparent Tribe’s ‘Vibeware’ Move Points to AI-Made Malware at Scale

2026/03/09 gbhackers — Transparent Tribe (APT36) は、従来の既製ツール中心の運用から、“vibeware” と呼ばれる AI 支援型のマルウェア・モデルへ移行している。この現象が示すのは、LLM による低洗練度の持続的な攻撃が、産業規模で生み出される段階に入ったことだ。インドの政府機関や大使館などに対する最近のキャンペーンで、このグループは AI 主導の開発パイプラインへ移行し、複数の言語で書かれた使い捨て型インプラントを継続的に生成している。

ExifTool の脆弱性 CVE-2026-3102 が FIX：悪意の画像による RCE

Critical ExifTool Flaw Lets Malicious Images Trigger Code Execution on macOS

2026/03/09 CyberSecurityNews — macOS システムが本質的にマルウェア耐性を持つという従来の認識が、新たに発見された脆弱性 CVE-2026-3102 により揺らいでいる。Kaspersky の Global Research and Analysis Team (GReAT) は、改竄された画像ファイルを処理するだけで、Mac 上で悪意のコード実行が可能になるという重大な欠陥を特定した。

GitHub を通じて BoryptGrab 情報スティーラーを配布：100 件以上の悪意のリポジトリ

Massive GitHub malware operation spreads BoryptGrab stealer

2026/03/08 SecurityAffairs — 100以上の GitHub リポジトリを通じて BoryptGrab 情報窃取型マルウェアを配布するキャンペーンを、Trend Micro が確認した。この BoryptGrab マルウェアは、ブラウザ情報／暗号資産ウォレットデータ／システム情報／一般的なファイルを収集するデザインとなっている。一部の亜種においては、TunnesshClient と呼ばれる PyInstaller 製バックドアも展開され、リバース SSH トンネルを確立して攻撃者と通信している。

Windows RDS の脆弱性 CVE-2026-21533：ダーク Web で販売されるエクスプロイトとは？

Hackers Allegedly Selling Exploit for Windows Remote Desktop Services 0-Day Flaw

2026/03/08 CyberSecurityNews — Windows Remote Desktop Services に存在する権限昇格の脆弱性 CVE-2026-21533 (CVSSv3：7.8：High) に対するエクスプロイトを、脅威アクターがダーク Web フォーラムで $ 220K という高額で販売しているようだ。このエクスプロイトは、不適切な権限管理を武器化し、攻撃者にローカル管理者権限を付与することを目的としている。

Nginx UI の脆弱性 CVE-2026-27944：管理者の認証情報や設定情報が漏洩

Critical Nginx UI flaw CVE-2026-27944 exposes server backups

2026/03/08 SecurityAffairs — Nginx UI に存在する、深刻な脆弱性 CVE-2026-27944 (CVSS 9.8) が明らかにされた。この脆弱性を悪用する未認証の攻撃者は、サーバの完全なバックアップをダウンロードし、復号できることが判明している。この欠陥は、機密設定情報／認証情報／暗号鍵の漏洩に直結する可能性があるため、管理インターフェイスを外部公開している組織にとって深刻なリスクとなる。

OpenAI が Codex Security を正式発表：脆弱性の発見／検証／修復を自動化するセキュリティ AI

OpenAI’s Codex Security Built to Automate Vulnerability Discovery and Remediation

2026/03/07 gbhackers — OpenAI が正式に発表したのは、脆弱性の発見と修復の自動化を目的とする、高度なアプリケーション・セキュリティ・エージェント Codex Security である。これまでは、Aardvark として知られていたツールであり、現在はリサーチ・プレビュー版として提供されている。最先端の AI モデルと自動検証を組み合わせることで、手動によるセキュリティ・レビューのボトルネックを解消し、トリアージ・ノイズを大幅に削減することを目的としている。これにより、開発チームによる安全なコードの出荷／リリースが迅速に行われるようになる。

米国における AI と EC-Council：人材の準備を目的とする AI 認定ポートフォリオの拡大

EC-Council Expands AI Certification Portfolio to Strengthen U.S. AI Workforce Readiness and Security

2026/03/06 BleepingComputer — AI によるリスクは、グローバルで $5.5 trillion 規模と推定され、米国では 70万人の再教育が必要とされている。その一方で、AI 導入と人材準備のギャップ解消を目的として、4つの新たな AI 資格と Certified CISO v4 が注目を集めている。Certified Ethical Hacker (CEH) の開発元であり、実践的なサイバー・セキュリティ教育の世界的リーダーである EC-Council が、Enterprise AI Credential Suite を発表した。それと同時に、4つの新しいロールベース AI 資格と、刷新されたエグゼクティブ向けプログラム Certified CISO v4 も公開した。

Cisco ファイアウォールの 48 件の脆弱性が FIX：CVE-2026-20079／20131 の CVSS 値は 10.0

Cisco Patches 48 Firewall Vulnerabilities with Two CVSS 10 Flaws

2026/03/06 hackread — Cisco が公表したのは、Secure Firewall の Adaptive Security Appliance／Management Center／Threat Defense などのファイアウォール・プラットフォームに影響を及ぼす多数の脆弱性に対するセキュリティ・アップデートの詳細である。このリリースには、広く導入されているネットワーク・セキュリティ製品における 25 件のアドバイザリが含まれ、48 件の脆弱性が修正されている。

WordPress Membership Plugin の脆弱性 CVE-2026-1492 が FIX：管理者アカウントの不正作成

WordPress Membership Plugin Vulnerability Let Attackers Create Admin Accounts

2026/03/06 CyberSecurityNews — WordPress 用 User Registration & Membership プラグインに存在する、セキュリティ脆弱性 CVE-2026-1492 (CVSS：9.8：Critical) が、研究者 Foxyyy により発見された。この脆弱性を悪用する未認証の攻撃者は、セキュリティ制御を回避して管理者アカウントを作成できるため、結果として Web サイトが完全に乗っ取られる。User Registration & Membership プラグインは、カスタムな登録フォームの作成と、ユーザー・プロファイル管理を支援するものだ。

AVideo プラットフォームの脆弱性 CVE-2026-29058 が FIX：OS コマンド・インジェクションの恐れ

AVideo Platform Vulnerability Allows Hackers to Hijack Streams via Zero-Click Command Injection

2026/03/06 gbhackers — AVideo プラットフォームが公開したのは、OS コマンド・インジェクションの脆弱性 CVE-2026-29058 (CVSS：9.8) である。この脆弱性 (CWE-78：特殊要素の不適切な無害化) を悪用する未認証のリモート攻撃者は、ユーザー操作や特権を必要とすることなく、ゼロクリックで悪意のシェルコマンドを実行し、メディア・サーバの完全な乗っ取りを可能にする。

Claude AI が発見した Firefox の脆弱性 22 件：2 週間にわたる Mozilla との共同検証の成果とは？

Claude AI Uncovers 22 Firefox Vulnerabilities in Two Weeks

2026/03/06 CyberSecurityNews — 人工知能モデルは単純なコード補助ツールから、自律型の高度な脆弱性研究者へと急速に進化している。最近の Anthropic Claude Opus 4.6 は、厳しく監査されてきたはずのオープンソース・プロジェクトにおいて、500 件を超えるゼロデイ脆弱性を発見した。その一環として、2026年2月の 2 週間をかけて Mozilla と Anthropic が共同で実施した検証では、Firefox に存在していた 22 件のセキュリティ欠陥が Claude Opus 4.6 により特定されている。Mozilla は、そのうち 14 件を高深刻度と分類したが、この件数は、2025年に修正された Firefox の高深刻度脆弱性の約 20% に相当する。

Amazon AWS-LC の脆弱性 CVE-2026-3336／3337／3338 が FIX：証明書検証の回避の恐れ

AWS-LC Flaw Exposes Amazon Users to Attacks by Bypassing Certificate Chain Validation

2026/03/06 gbhackers — Amazon が公表した重大なセキュリティ速報 (2026-005-AWS) は、同社のオープンソース暗号ライブラリ AWS-LC に存在する、きわめて深刻な 3 件の脆弱性を詳述するものだ。AISLE Research Team との協調開示プロセスを通じて発見された、これらの脆弱性はクラウド・インフラに対して深刻なリスクをもたらすものだ。AWS-LC は、デジタル通信の保護における汎用暗号ライブラリとして、数多くの開発者に利用されている。

Apache ActiveMQ MQTT モジュールの脆弱性 CVE-2025-66168：整数オーバーフローと DoS 攻撃

Apache ActiveMQ Allow Attackers to Trigger DoS Attacks With Malformed Packets

2026/03/06 CyberSecurityNews — Apache ActiveMQ に存在する、脆弱性 CVE-2025-66168 (CVSS：5.4 Medium) の詳細が確認された。この脆弱性を悪用する認証済みの攻撃者は、不正に形成したネットワーク・パケットを送信することで、サービス拒否 (DoS) 攻撃を引き起こすことが可能である。この問題はセキュリティ研究者 Gai Tanaka により発見され、その後に、Apache メーリング・リスト上でメンテナー Christopher L. Shannon／Matt Pavlovich により確認された。

Cisco Catalyst SD-WAN ゼロデイ CVE-2026-20127：PoC エクスプロイト公開と実環境での悪用

PoC Exploit Released Cisco SD-WAN 0-Day Vulnerability Exploited in the Wild

2026/03/06 CyberSecurityNews — Cisco Catalyst SD-WAN Controller／SD-WAN Manager (vManage) に存在する最大深刻度のゼロデイ脆弱性 CVE-2026-20127 に対して PoC エクスプロイトが公開された。この脆弱性は、遅くとも 2023 年以降から現在にかけて、実環境で積極的に悪用されてきた。Cisco Talos によると、この活動は脅威クラスター UAT-8616 として追跡されている。同社は、「UAT-8616 は、世界中の重要インフラを標的とする、きわめて高度で洗練されたサイバー・アクターである」と説明している。