January 28, 2026 – IoT OT Security News

45 万件超の悪意のオープンソース・パッケージを確認：Sonatype が警告

Researchers Uncover 454,000+ Malicious Open Source Packages

2026/01/28 InfoSecurity — 2025年に再確認された悪意のパッケージの急増を受け、セキュリティ研究者たちが警告するのは、オープンソース・エコシステムが抱える構造的なリスクである。Maven Central／PyPI／npm／NuGet 全体でのコンポーネントが、昨年は 9.8 兆回もダウンロードされたと、2026 State of the Software Supply Chain レポートで Sonatype は述べている。問題とされるのは、その中の相当数にマルウェアや脆弱性が含まれていたことだ。

Check Point Harmony SASE の脆弱性 CVE-2025-9142 が FIX：SYSTEM 権限昇格の恐れ

Check Point Harmony SASE Windows Client Vulnerability Enables Privilege Escalation

2026/01/28 CyberSecurityNews — Check Point の Harmony SASE (Secure Access Service Edge) Windows クライアント・ソフトウェアに、深刻な権限昇格の脆弱性 CVE-2025-9142 が発見された。この脆弱性を悪用するローカル攻撃者は、本来は想定されていない証明書作業ディレクトリ外へのファイルの書き込み／削除が可能になり、SYSTEM レベル侵害を引き起こす恐れがある。この脆弱性は、version 12.2 未満に影響を及ぼす。

TP-Link Archer ルーターの脆弱性 CVE-2025-14756 が FIX：任意のシステム・コマンド実行の恐れ

TP-Link Archer Router Flaw Exposes Users to Remote Attacks and Full Device Control

2026/01/28 gbhackers — TP-Link 製 Archer MR600 v5 ルーターにおいて、深刻度 High のコマンド・インジェクション脆弱性が発見された。この脆弱性を悪用する認証済みの攻撃者は、管理インターフェイスを通じて任意のシステム・コマンドを実行できる。この脆弱性は CVE-2025-14756 として追跡されており、広く展開されている TP-Link ネットワーク機器を利用する企業／家庭のユーザーに、深刻なセキュリティ・リスクをもたらしている。

Gemini MCP Tool の深刻なゼロデイ脆弱性 CVE-2026-0755：RCE に対する No Patch 状態

Gemini MCP Tool 0-day Vulnerability Allows Remote Attackers to Execute Arbitrary Code

2026/01/28 CyberSecurityNews — Gemini MCP Tool に存在する、深刻なゼロデイ脆弱性を悪用する攻撃者は、認証を一切必要とせずにリモートコード実行 (RCE) が可能な状況にある。この脆弱性は ZDI-26-021／ZDI-CAN-27783 として追跡され、CVE-2026-0755 (CVSS v3.1：9.8) が割り当てられている。この深刻度は、悪用の容易さと影響の大きさを反映するものである。

n8n Sandbox の脆弱性 CVE-2026-1470／0863 が FIX：サンドボックス回避と RCE

Critical and High Severity n8n Sandbox Flaws Allow RCE

2026/01/28 InfoSecurity — n8n に、深刻なセキュリティ脆弱性 CVE-2026-1470／CVE-2026-0863 が発見された。このワークフロー自動化プラットフォームに影響を与えるセキュリティ欠陥が明らかにしたのは、JavaScript および Python コードに対するサンドボックス機構の弱点である。これらの脆弱性は JFrog Security Research チームにより開示されたものであり、パッチ未適用の n8n インスタンスをホストするシステム上で、認証済みの攻撃者に対して任意のコマンド実行を許す可能性がある。これらの脆弱性が影響を及ぼす範囲は、n8n のクラウド・サービスおよびセルフホスト環境である。

Cal.com のアクセス・コントロールの不備：Gecko の AI SAST エンジンが問題を検出

Cal.com Broken Access Controls Lead to Account Takeover and Data Exposure

2026/01/28 gbhackers — オープンソースのスケジューリング・プラットフォームである Cal.com は、開発者フレンドリーな Calendly の代替として知られている。しかし、最近になって、ユーザー・アカウントおよび機密データを攻撃者に露出させる、一連の深刻な脆弱性が発生し修正された。これらの欠陥は、Gecko の AI セキュリティ・エンジニアにより、Cal.com Cloud において発見されたものである。この脆弱性を悪用する攻撃者は、任意のユーザーに対する完全なアカウント乗っ取りと、非公開ミーティングや参加者メタデータなどの、組織を横断する機密情報への不正アクセスを可能にしていた。

WinRAR の脆弱性 CVE-2025-8088：依然として悪用が止まらないと Google が警告

Google Warns of WinRAR Vulnerability Exploited to Gain Control Over Windows System

2026/01/28 CyberSecurityNews — Windows 環境で多用されるファイル圧縮ツールの一つである、WinRAR に存在する深刻なセキュリティ上の欠陥が、コンピュータ・システムへの不正アクセスを狙う攻撃者にとって格好の攻撃手段となっている。この脆弱性 CVE-2025-8088 を悪用する攻撃者は、ユーザーに知られることなく、機微なシステム・ディレクトリ上に、悪意のファイルを配置し得る。その結果として、Windows マシンの制御が攻撃者に奪取される可能性がある。

Chrome の脆弱性 CVE-2026-1504 が FIX：Background Fetch API の欠陥を修正

Chrome Security Update Fixes Critical Vulnerability in Background Fetch API

2026/01/28 gbhackers — Google が公開したのは、セキュリティ上のリスクをもたらす可能性のある、Background Fetch API の深刻な脆弱性 CVE-2026-1504 に対処する、デスクトップ向け Chrome Stable Channel のアップデートである。最新の Chrome バージョンは、Windows および macOS 向けが 144.0.7559.109／144.0.7559.110、Linux 向けが 144.0.7559.109 である。すでに段階的な配信が開始されており、今後の数日から数週間かけて提供されていく。

OpenSSL の脆弱性 CVE-2025-15467 などが FIX：スタック・オーバーフローと RCE

Critical OpenSSL Vulnerabilities Allow Remote Attackers to Execute Malicious Code

2026/01/28 CyberSecurityNews — 2026年1月27日に OpenSSL は、合計 12 件の脆弱性に対する修正を公開した。この中に含まれるものには、リモートコード実行につながる可能性のある深刻な欠陥がある。大半の問題は、サービス拒否 (DoS) を引き起こすものであるが、信頼されていないデータを解析する際のリスクを浮き彫りにしている。

FortiOS SSO の脆弱性 CVE-2026-24858 が FIX：悪用の確認と CISA KEV 登録

Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected

2026/01/28 TheHackerNews — Fortinet が公表したのは、実環境で既に悪用が確認されている、FortiOS に影響を及ぼす深刻な脆弱性に対処するためのセキュリティ・アップデート提供の開始である。この脆弱性 CVE-2026-24858 (CVSS：9.4) は、FortiOS の Single Sign-On (SSO) に関連する認証バイパスの欠陥であり、FortiManager および FortiAnalyzer にも影響を及ぼす。FortiWeb や FortiSwitch Manager を含む他製品への影響についても、引き続き調査を進めていると、Fortinet は述べている。