IoT OT Security News

CISO が懸念する AI の脅威：リスクの認識と攻撃阻止の能力は同義ではない

Survey Surfaces Greater CISO Appreciation for Scope of AI Threat

2026/04/01 SecurityBoulevard — 500人の CISO を対象とした調査により判明したのは、従業員数 500 人以上の米国組織の 31% において、SaaS アプリケーションと AI ツール／プラットフォーム間で未承認のデータ流出が、すでに発生していると認識されていることだ。この調査は、データセキュリティ・プラットフォームを提供する Vorlon が、マーケット・リサーチ企業 Censuswide に委託して実施されたものである。その結果として明らかになったのは、AI ツールと SaaS アプリケーション間でのデータ交換について可視化できていないと、87% が回答していることだ。

Magecart 攻撃の進化：100+ のドメインで持続しながらチェックアウト・ページの出現を待機

Magecart Hackers Uses 100+ Domains to Hijack eStores Checkouts and Steal Card Data

2026/04/01 CyberSecurityNews — 24ヶ月以上にわたり継続する高度な Magecart キャンペーンが静かに活動し、100 以上の悪意ドメインを介して少なくとも 12 カ国の e コマース Web サイトに感染し、決済カードデータをリアルタイムで窃取している。この結果として、最も大きな経済的な損失を、加盟店ではなく銀行側が負担するという状況にある。

Chrome のゼロデイ CVE-2026-5281 が FIX：実環境でのアクティブな悪用を確認

New Chrome Zero-Day Vulnerability Actively Exploited in Attacks — Patch Now

2026/04/01 CyberSecurityNews — Google が公開した Chrome ブラウザの緊急セキュリティ・アップデートは、すでに実環境でのアクティブな悪用が確認されているゼロデイ脆弱性に対応するものだ。Windows／Mac 向けのバージョン 146.0.7680.177／178 と、Linux 向けの 146.0.7680.177 が、Stable チャネルで提供されている。このアップデートは、今後の数日から数週間をかけて、すべてのユーザーへ展開される予定である。

nginx-ui の脆弱性 CVE-2026-33026 が FIX：PoC エクスプロイト・コードも登場

PoC Exploit Code Published for nginx-ui Backup Restore Security Flaw

2026/04/01 gbhackers — nginx-ui のバックアップ復元メカニズムに存在する、深刻なセキュリティ欠陥 CVE-2026-33026 (CVSS：9.4) を悪用する攻撃者は、暗号化バックアップの改竄と任意のコマンド実行を可能にし得る。すでに Proof-of-Concept (PoC) エクスプロイト・コードが公開されているため、バージョン 2.3.4 への即時アップデートが管理者にとって必要となっている。

npm 上の悪意の undicy-http パッケージに注意：RAT とネイティブ・マルウェアを注入

New npm Supply Chain Attack Uses undicy-http to Deploy Screen-Streaming RAT and Browser Injector

2026/04/01 CyberSecurityNews — Node.js 開発者コミュニティ内で確認されたのは、悪意の npm パッケージ undicy-http をインストールした開発者のマシンを密かに侵害していくインシデントの発生である。このパッケージは、毎週数百万回のダウンロードを処理する Node.js に同梱される、公式 HTTP クライアント・ライブラリ undici を装っているが、HTTP クライアント機能は一切含まれていない。

Mercor AI を標的とする大規模侵害：Lapsus$ の 4TB データ窃取主張を受けデータ侵害を認める

Mercor AI Confirms Data Breach Following Lapsus$ Claims of 4TB Data Theft

2026/04/01 CyberSecurityNews — Mercor AI が深刻なデータ侵害の発生を公式に認めたのは、悪名高いハッキング集団 Lapsus$ による 4 TB の機密データの窃取という主張を受けてのことである。このインシデントは、オープン・ソース LiteLLM プロジェクトに対する最近のサプライ・チェーン攻撃に起因するものであり、独自開発のソースコード／内部データベース／大量のユーザー本人確認データなどを露出するものだ。

Oracle WebLogic 脆弱性 CVE-2026-21962 (CVSS 10.0)：実環境での継続的な悪用を確認

Hackers Actively Exploit Critical WebLogic RCE Vulnerabilities in Ongoing Attacks

2026/04/01 gbhackers — Oracle WebLogic Server に存在する、リモート・コード実行 (RCE) 脆弱性 CVE-2026-21962 (CVSS：10.0) が、実環境の未認証の攻撃者により積極的に悪用されている。最新のハニーポット調査によると、2026年1月22日に GitHub 上でエクスプロイト・コードが公開された当日に、この脆弱性の悪用が開始されている。

AI 駆動型のフィッシング攻撃に対抗：米国の金融グループが安全な ID のための政策を提言

Financial groups lay out a plan to fight AI identity attacks

2026/04/01 HelpNetSecurity — GenAI 系ツールによりディープフェイク生成コストが大幅に低下したことで、金融機関を攻撃するサイバー犯罪者や国家支援アクターが日常的に使用する状況となっている。この問題の規模を提示する American Bankers Association／Better Identity Coalition／Financial Services Sector Coordinating Council は共同報告書を取りまとめ、連邦政府と州政府の政策立案者に対して複数の領域での対応を求めている。

SIEM の時代は終わるのか？現代のセキュリティ要件に追従する新たな発想とは？

The Death of the SIEM: Why Modern Security Demands a New Data Strategy

2026/03/31 InfoSecurity — いまから 20 年ほど前に SIEM (Security Information and Event Management) は、コンプライアンスを目的とするログ保存のためのツールとして定義／設計された。しかし、脅威環境の進化に伴い、これらのレガシー・システムは、現代のサイバー・セキュリティ要件に追従できなくなっている。

Google Drive のランサムウェア対策：脅威の検知／ファイルの復元が正式提供

Google Introduces Advanced Ransomware Defense and Recovery Features in Drive

2026/03/31 gbhackers — Google が公表したのは、Google Drive 向けのランサムウェア検知／ファイル復元の機能を、ベータ版から正式版へと移行し、グローバルに提供を開始したことだ。これらのセキュリティ機能は、個人／企業のエンドポイントに対するマルウェア攻撃の破壊的影響を最小化することを目的として設計されたものであり、2025年09月の時点でベータ提供が開始されていた。

PNG ライブラリ libpng の脆弱性 CVE-2026-33416／33636 が FIX：クラッシュと情報漏洩の恐れ

PNG Vulnerabilities Allow Attackers to Trigger Crashes and Leak Sensitive Data

2026/03/31 gbhackers — Portable Network Graphics (PNG) 画像ファイル処理に広く使用される、リファレンス・ライブラリ libpng の 2件の深刻な脆弱性が、セキュリティ研究者たちにより公開された。これらの深刻な欠陥を悪用するリモート攻撃者は、特別に細工され標準準拠の PNG 画像を処理させることで、プロセスクラッシュ／機密ヒープメモリ漏洩／任意のコード実行などを引き起こせる。影響を受けるソフトウェア・エコシステムの保護のために、この 2 つの脆弱性に対する即時のパッチ適用が必要となっている。

CISA KEV 警告 26/03/30：Citrix NetScaler の脆弱性 CVE-2026-3055 を登録

CISA Warns of Citrix NetScaler Vulnerability Actively Exploited in Attacks

2026/03/31 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Citrix NetScaler 製品に影響する深刻な脆弱性について緊急の警告を発出した。この脆弱性 CVE-2026-3055 は、実環境におけるアクティブな悪用が確認されたことを受け、CISA の Known Exploited Vulnerabilities (KEV) カタログへ正式に追加された。

Claude AI が Vim／Emacs のゼロデイ RCE を発見：セキュリティの歴史的な転換点となるのか？

Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs

2026/03/31 CyberSecurityNews — Anthropic の AI “Claude” は、Vim および GNU Emacs に存在するゼロデイのリモート・コード実行 (RCE) の脆弱性を発見した。この発見が浮き彫りにするのは、バグハンティングにおける大きなパラダイム・シフトであり、AI モデルの単純な自然言語プロンプトのみを用いることで、レガシー・ソフトウェアの深刻な脆弱性を発見できることを実証している。

Notepad++ v8.9.3 がリリース：cURL 関連のセキュリティ欠陥とクラッシュ問題を修正

Notepad++ v8.9.3 Released With Fixes for cURL Security Flaw and Crash Bugs

2026/03/31 gbhackers — Notepad++ が公開したバージョン 8.9.3 は、深刻な cURL のセキュリティ脆弱性に対処し、複数のクラッシュ・バグを解消するための重要な更新である。このリリースでは、アプリケーションに対する重要なセキュリティ・パッチに加えて、新しい XML パーサへの移行が正式に完了し、コンフィグ・ファイル操作のパフォーマンスが大幅に向上している。

Axios を標的とするサプライチェーン攻撃を検出：npm 経由で悪意依存関係を注入

Axios NPM Packages Compromised to Inject Malicious Codes in an Active Supply Chain Attack

2026/03/31 CyberSecurityNews — Axios を標的とする高度なサプライ・チェーン攻撃において、公式 npm レジストリに悪意のトランジティブ依存関係が導入された。Axios は、JavaScript エコシステム内で最も広く採用されている HTTP クライアントの一つである。フロントエンド・フレームワーク／バックエンド・マイクロサービス／エンタープライズ・アプリケーション全体で、重要なコンポーネントとして機能しており、npm 上で週約 8,300 万回のダウンロードを記録している。

OpenAI が公表：ChatGPT のデータ漏洩とCodex の GitHub トークン窃取の脆弱性

OpenAI Patches ChatGPT Data Exfiltration Flaw and Codex GitHub Token Vulnerability

2026/03/30 TheHackerNews — OpenAI ChatGPT に存在する未知の脆弱性により、ユーザーの認識や同意なしに機密性の高い会話データが外部へ送信される可能性があったことが、Check Point の新たな調査で明らかになった。同社は、「単一の悪意のプロンプトにより、通常の会話が秘匿的なデータ流出チャネルへと変化し、ユーザーメッセージ／アップロードファイルなどの機密情報が漏洩する可能性がある。また、バックドア化された GPT により、ユーザーの認識なしにデータへのアクセスが行われる」と指摘していた。

Vim の脆弱性 CVE-2026-34714 が FIX：武器化されたファイルによる任意のコマンド実行

Vim Vulnerability Let Attackers Execute Arbitrary Command Via Weaponized Files

2026/03/30 CyberSecurityNews — 開発者の間で広く使用されるテキストエディタ Vim において、きわめて深刻なセキュリティ脆弱性 CVE-2026-34714 (CVSS：8.2) が発見された。この脆弱性を悪用する攻撃者は、特別に細工されたファイルをユーザーに開かせるだけで、任意の OS コマンド実行を可能にする。このバグ・チェーンは、アプリケーションがファイル内に埋め込まれた命令を処理する仕組みにおける、継続的なリスクを示すものである。

ClickFix の新亜種：攻撃の主体をスクリプトから rundll32 や WebDAV などのコンポーネントへ移行

ClickFix Evades PowerShell Detection via Rundll32 and WebDAV

2026/03/30 gbhackers — ClickFix 攻撃手法の新たな亜種が確認された。この亜種は、一般的に監視されやすいツールである PowerShell や mshta などから実行を切り離し、”rundll32.exe” や WebDAV といった Windows ネイティブ・コンポーネントを悪用するものだ。この進化により、スクリプトベースの検知メカニズムの回避が可能となり、ステルス性が高まるため、侵害の成功率が上昇する。

WordPress Smart Slider 3 の脆弱性 CVE-2026-3098 が FIX：インフラの重要情報が露出

WordPress Plugin Flaw Exposes Sensitive Data Across 800,000+ Sites

2026/03/30 gbhackers — 80万以上の Web サイトで稼働する WordPress プラグイン Smart Slider 3 に、深刻なセキュリティ脆弱性が存在することが明らかにされた。この脆弱性 CVE-2026-3098 を悪用する認証済み攻撃者は、ホスト・サーバから直接に任意ファイルを読み取ることが可能になり、バックエンド・インフラの重要情報が露出する。

PyPI 上の Telnyx Python SDK にバックドア：クラウドおよび開発者の認証情報を窃取

Hackers Backdoor Telnyx Python SDK on PyPI to Steal Cloud and Dev Credentials

2026/03/30 CyberSecurityNews — 広く利用されている Python パッケージが、攻撃ツールへと密かに改変され、多くの開発者が被害に遭った事実に気づきにくい状況にある。 2026年3月27日に TeamPCP と呼ばれる脅威アクターが、Python の主要リポジトリである PyPI に、Telnyx Python SDK の 2 つの悪意のバージョンをアップロードした。それらの改竄されたバージョン 4.87.1／4.87.2 は、PyPI により隔離されるまでの、約 4 時間にわたり公開されていた。なお、直前の正規バージョンである 4.87.0 (2026 年3月26日公開) は、侵害されていないことが確認されている。

VoidLink が示す脅威の実態：AI 生成マルウェアが実運用へ移行した

VoidLink Malware Framework Shows that AI-assisted Malware is Not Experimental Anymore

2026/03/30 CyberSecurityNews — AI を用いて危険なマルウェアを大規模に生成できるかという議論が、長年にわたりサイバー・セキュリティ専門家たちの間で展開されてきたが、その話は、すでに決着している。2026年初頭に発見された Linux ベースのマルウェア・フレームワーク VoidLink が示すのは、理論上の概念から完全な実戦投入の段階の脅威へと、AI 支援マルウェアが移行したことであり、セキュリティ・コミュニティが懸念し続けてきた境界を超えたことである。

FortiClient EMS の脆弱性 CVE-2026-21643：実環境での攻撃キャンペーンを確認

Critical Fortinet Forticlient EMS Vulnerability Exploited in Attacks

2026/03/30 CyberSecurityNews — Fortinet の FortiClient Endpoint Management Server (EMS) に存在する深刻な SQL インジェクション脆弱性 CVE-2026-21643 (CVSS：9.1) が、実環境で積極的に悪用されていることが確認されている。この攻撃は、遅くとも数日前から観測されているが、CISA の Known Exploited Vulnerabilities (KEV) カタログには未掲載である。この脆弱性を悪用する未認証の攻撃者は、リモートからの不正なコマンドの実行を可能にする。その影響の範囲は FortiClient EMS バージョン 7.4.4 であり、エンタープライズ環境に深刻な脅威をもたらしている。

Grafana の深刻な脆弱性 CVE-2026-27876／27880 が FIX：RCE と DoS の可能性

Critical Grafana Flaws Allow Attackers to Achieve Remote Code Execution

2026/03/30 gbhackers — Grafana Labs が公開したのは、広く利用されている分析／可視化のプラットフォーム Grafana に影響を及ぼす、2 件の深刻な脆弱性に対するセキュリティ・アップデートである。最も深刻な脆弱性 CVE-2026-27876 (CVSS：9.1) を悪用する攻撃者は、完全なリモートコード実行 (RCE) を達成し、ホスト・サーバへの SSH 接続の確立を可能にする。

Citrix NetScaler の脆弱性 CVE-2026-3055：SAML IdP コンフィグをスキャンする攻撃者の意図は？

Hackers Probe Citrix NetScaler Instances Ahead of Likely CVE-2026-3055 Exploitation

2026/03/29 CyberSecurityNews — Citrix の NetScaler ADC／Gateway アプライアンスに存在する深刻な脆弱性の実環境での悪用が差し迫っていると、サイバー・セキュリティ研究者たちが警告している。脅威インテリジェンス企業 watchTowr と Defused Cyber が、NetScaler の脆弱性 CVE-2026-3055 を標的とするアクティブな偵察活動を検出した。この脆弱性は高深刻度のメモリ読み取りの欠陥であり、未認証の攻撃者に対して機密データの抽出を許すものである。

Anthropic Mythos の衝撃：サイバー・セキュリティ関連株が軒並み急落

Cybersecurity Companies’ Stocks Fall as Anthropic Tests Powerful New Model

2026/03/28 CyberSecurityNews — 3月27日 (金) に、サイバー・セキュリティ関連株が急落した。その背景にあるのは、Anthropic が明らかにした、高度な脆弱性発見能力を持つ新たな AI モデル Mythos のテストの開始である。現時点の Anthropic は、Capybara というコードネームを持つ新世代 AI モデル群を試験運用しているが、その中の主力モデルが Mythos である。

CISA KEV 警告 26/03/27：F5 BIG-IP の脆弱性 CVE-2025-53521 を登録

CISA Warns of F5 BIG-IP Vulnerability Actively Exploited in Attacks

2026/03/28 CyberSecurityNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、F5 BIG-IP システムに影響を及ぼす脆弱性の Known Exploited Vulnerabilities (KEV) カタログへの登録である。この脆弱性 CVE-2025-53521 は、2026年3月27日に正式に登録され、連邦機関に対して 2026年3月30日までの対応期限が設定された。

Prompt Poaching という新たな AI 攻撃：悪意のエクステンションによる API／DOM 侵害

Malicious Browser Extensions Hijack Users’ AI Chats in New “Prompt Poaching” Attack

2026/03/28 gbhackers — 悪意のブラウザ・エクステンションにより、AI ツールの機微なユーザー操作を密かに収集する、Prompt Poaching (プロンプト密猟) と呼ばれる新たな攻撃の波が確認されている。日常的なブラウジングにおける AI アシスタントの普及により、ユーザビリティにギャップが生じている。数多くのユーザーは、分離されたタブで AI ツールを利用し、解析や要約のために手動でコンテンツをコピー＆ペーストしている。

Open VSX Scanner の脆弱性 CVE-N/A が FIX：曖昧なエラー処理による検証バイパス

Open VSX Scanner Vulnerability Lets Malicious Extensions Go Live

2026/03/28 gbhackers — Open VSX が公表したのは、新たに導入された公開前スキャン・パイプラインに存在し、悪意のエクステンションの公開を可能にする深刻な脆弱性の修正である。それにより、Cursor や Windsurf などの VS Code フォークで利用される、エクステンション・マーケットプレイス Open VSX において、セキュリティ・チェックの回避が発生する可能性が生じていた。この “Open Sesame” と呼ばれる問題は、スキャン・ワークフローにおける “fail-open” 条件に起因していた。

AWS アカウント・ハッキング：公開 Web サイトをホストするクラウド環境に影響

European Commission Confirms Cyberattack Following AWS Account Hack

2026/03/28 CyberSecurityNews — Amazon Web Services (AWS) アカウントの侵害による標的型サイバー攻撃を受けたことを、欧州委員会 (EC：European Commission) が正式に認めた。この侵入は2026年3月24日に検出されたものであり、Europa.eu プラットフォーム上の公開 Web サイトをホストする、外部のクラウド環境に影響を与えるものだった。

FBI 長官 Kash Patel の Gmail データが流出：イラン由来の Handala Hackers が犯行を主張

Iran-Linked Handala Hackers Breach FBI Chief Kash Patel’s Gmail

2026/03/28 hackread — イラン由来とされる Handala Hackers (別名 Handala Hack Team) は、FBI の Director である Kash Patel の個人 Gmail アカウントを侵害し、写真や文書を含む個人データを公開したと主張している。同グループは、自身の Web サイトおよび Telegram チャンネルで投稿を行い、パスワード保護されたアーカイブを共有し、メール／会話／文書へのアクセスを達成したと主張している。

Vibe Security Radar プロジェクト：GenAI 由来の脆弱性のみを判別して掲載

Security Researchers Sound the Alarm on Vulnerabilities in AI-Generated Code

2026/03/27 InfoSecurity — Anthropic の Claude Code などのバイブ・コーディング (Vibe Coding) ツールによる新たな脆弱性が、ソフトウェアへと大量に流入していると、Georgia Tech の研究者たちが警告している。2026年3月には、AI が生成するコードに起因する、35 件の新たな CVE (Common Vulnerabilities and Exposures) が公開された。この数字は、1月の 6 件と、2月の 15 件から大幅に増加している。これらの脆弱性を追跡しているのは、Georgia Tech (ジョージア工科大学) の Systems Software & Security Lab (SSLab) が、2025年5月に立ち上げた Vibe Security Radar プロジェクトである。

Databricks が SIEM 分野に参入：AI 駆動型の Lakewatch プラットフォームの強みとは？

Databricks Expands Into Cybersecurity with AI-Driven Lakewatch Platform

2026/03/27 SecurityBoulevard — Databricks が発表したのは、Lakewatch と呼ばれる新しいセキュリティ・プラットフォームによる、サイバー・セキュリティ分野への進出である。これまでのデータと AI に関連する製品を、隣接するエンタープライズ・セキュリティ市場へと拡張する、一貫した戦略における新たな展開である。

BIND 9 の脆弱性 CVE-2026-1519 などが FIX：サーバ／プロセスの異常終了の恐れ

BIND 9 Security Flaws Allow Attackers to Bypass Security Controls and Crash Servers

2026/03/27 gbhackers — Internet Systems Consortium が公開したのは、広く利用される BIND 9 Domain Name System (DNS) ソフトウェア・スイートにおける、3 件の深刻な脆弱性に対応するクリティカルなセキュリティ・アドバイザリである。これらの脆弱性が未修正の状態で放置されると、それを悪用するリモート攻撃者により、アクセス制御リストの回避／過剰なシステム・リソース消費／DNS サーバの完全なクラッシュなどが引き起こされる可能性がある。

Windows Error Reporting の脆弱性 CVE-2026-20817：SvcElevatedLaunch の削除による対応

New Windows Error Reporting Vulnerability Lets Attackers Escalate to Gain SYSTEM Access

2026/03/27 CyberSecurityNews — Windows Error Reporting (WER) サービスにおいて、新たに発見されたローカル権限昇格の脆弱性を悪用する攻撃者は、SYSTEM 権限を容易に取得できる。この脆弱性 CVE-2026-20817 は、その構造的な危険性の高さを懸念する Microsoft により、従来のコード・パッチの適用ではなく、該当する機能自体を完全に削除するという対応が取られた。この脆弱性は、Windows Error Reporting サービスの主要ライブラリである “WerSvc.dll” ファイル内に存在する。

CISA KEV 警告 26/03/26：Trivy Scanner の脆弱性 CVE-2026-33634 を登録

CISA Adds Critical Aquasecurity Trivy Scanner Vulnerability to KEV Catalog

2026/03/27 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Aqua Security の Trivy スキャナに影響を及ぼす深刻な脆弱性 CVE-2026-33634 を、Known Exploited Vulnerabilities (KEV) カタログへ緊急追加した。この脆弱性は、CI/CD (Continuous Integration/Continuous Deployment) 環境を標的とする埋め込み型 (エンベッド型) のマルウェア・コードに関係するものだ。

Claude Chrome エクステンションの脆弱性が FIX：信頼境界の拡大とプロンプト・インジェクション攻撃

Claude Chrome Extension 0-Click Vulnerability Enables Silent Prompt Injection Attacks

2026/03/27 CyberSecurityNews — Anthropic の Claude Chrome エクステンションに存在していた深刻なゼロクリックの脆弱性により、300万人以上のユーザーがサイレント・プロンプト・インジェクション攻撃に晒されていたことが判明した。この脆弱性は修正済みであるが、攻撃が発生した場合に可能だったのは、ユーザー操作を必要としない AI アシスタントの乗っ取りである。具体的には、Gmail アクセストークンの窃取／Google Drive ファイルの読み取り／チャット履歴のエクスポート／メール送信などが、ユーザーには不可視な状況で実行された可能性がある。

Kea DHCP の脆弱性 CVE-2026-3608 が FIX：完全なサービス拒否 (DoS) に至る恐れ

ISC Issues Critical Warning Over Kea DHCP Vulnerability That Could Remotely Crash Services

2026/03/27 gbhackers — Internet Systems Consortium (ISC) が公開したのは、Kea DHCP サーバ・ソフトウェアに存在する深刻な脆弱性 CVE-2026-3608 に対処するセキュリティ・アドバイザリである。現代的で高性能な Kea DHCP サーバは、ネットワーク IP 割り当てを管理するために、エンタープライズ・ネットワークおよびインターネット・サービス・プロバイダで広く利用されている。

Cisco Secure Firewall の脆弱性 CVE-2026-20131：リモートからの root 権限でのコード実行

Cisco Secure Firewall Vulnerability Allows Remote Code Execution as Root User

2026/03/26 CyberSecurityNews — Cisco が公開したのは、Secure Firewall Management Center (FMC) ソフトウェアに存在する、深刻な脆弱性に対処する緊急セキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、root 権限で任意のコード実行を可能にする。脆弱性 CVE-2026-20131 (CVSS：10.0 Critical) は、不適切なデシリアライズ (CWE-502) に起因し、リモートからの特権を必要としない悪用を引き起こす。

CISA KEV 警告 26/03/25：Langflow のコード・インジェクションの脆弱性 CVE-2026-33017 を登録

CISA Warns of Langflow Code Injection Vulnerability Exploited in Attacks

2026/03/26 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は 2026年3月25日に、Langflow に影響を及ぼす深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ正式に追加した。この脆弱性 CVE-2026-33017 は、実環境において積極的な悪用が確認されている、きわめて危険なコード・インジェクションの欠陥である。

NVIDIA 製品群の複数の深刻な脆弱性が FIX：任意のコード実行／DoS 攻撃などの恐れ

Critical NVIDIA Vulnerabilities Risk Remote Code Execution and Denial-of-Service Attacks

2026/03/26 gbhackers — NVIDIA が公表した 2026年3月のセキュリティ情報は、同社のハードウェア／ソフトウェアのエコシステムで新たに発見された複数の脆弱性に対処するものだ。NVIDIA が強く推奨するのは、それぞれのユーザー環境の評価と、必要な是正措置の即時の実施により、悪用の可能性を低減させることである。

Ivanti EPMM の脆弱性 CVE-2026-1281／1340：侵入からデータ窃取までを 6 秒で完了した手口とは？

Critical Ivanti EPMM Vulnerabilities Expose Systems to Arbitrary Code Execution Attacks

2026/03/26 gbhackers — 2026年2月に、Ivanti Endpoint Manager Mobile (EPMM) に存在する、2 つのリモート・コード実行 (RCE) の脆弱性 CVE-2026-1281／CVE-2026-1340 (Critical) が積極的に悪用された。WithSecure の STINGR Group によるインシデント・レスポンス調査により判明したのは、高度に自動化された手法を用いる攻撃者が、侵害の数秒後には侵害したサーバから機密データを窃取していたことだ。

Synology に影響を及ぼす GNU Inetutils の脆弱性 CVE-2026-32746：深刻なリモート・コマンド実行

Synology DiskStation Manager Vulnerability Puts Users at Risk of Remote Command Execution Attacks

2026/03/26 gbhackers — Synology が公開したのは、DiskStation Manager (DSM) ソフトウェアに関する深刻な脆弱性に対応するための緊急セキュリティ・アップデートである。この脆弱性 CVE-2026-32746 (CVSS v3：9.8：Critical) を未修正の状態で放置すると、認証不要のリモート攻撃者に対して、任意のコマンド実行を許すことになる。セキュリティ・アドバイザリで Synology-SA-26:03 として追跡される、この脆弱性はクラシックなバッファ・オーバーフロー (CWE-120) に起因するものであり、管理者による即時対応が求められている。

AI により高速化されるサイバー攻撃：ID が引きずり続ける弱点に向き合うためには？

AI Speeds Attacks, But Identity Remains Cybersecurity’s Weakest Link

2026/03/25 SecurityWeek — AI の影響はサイバーセキュリティ全体に浸透しており、攻撃者に対して高度化／スピード／スケールをもたらしている。攻撃主体と攻撃対象は、地政学的な緊張および国際的な同盟関係の大きな影響を受けるようになっている。しかし、サイバー・セキュリティは、その中心にアイデンティティを据える必要がある。ただし、アイデンティティは侵入の入口であり、かつ容易に失われるものだ。

FCC が外国製ルーターの新規輸入を禁止：ボットネット構築や大規模サイバー攻撃を懸念

FCC targets foreign router imports amid rising cybersecurity concerns

2026/03/25 SecurityAffairs — 米国の Federal Communications Commission (FCC) は、コンシューマ向けの外国製ルーターについて、新たな輸入を禁止すると発表した。この決定は、Executive Branch による評価に基づくものであり、サイバー・セキュリティおよび国家安全保障上の重大リスクを理由とする。これにより、それらのデバイスは FCC の Covered List に追加され、特別承認を受けない限り、米国内での販売およびマーケティングが禁止される。