March 6, 2026 – IoT OT Security News

米国における AI と EC-Council：人材の準備を目的とする AI 認定ポートフォリオの拡大

EC-Council Expands AI Certification Portfolio to Strengthen U.S. AI Workforce Readiness and Security

2026/03/06 BleepingComputer — AI によるリスクは、グローバルで $5.5 trillion 規模と推定され、米国では 70万人の再教育が必要とされている。その一方で、AI 導入と人材準備のギャップ解消を目的として、4つの新たな AI 資格と Certified CISO v4 が注目を集めている。Certified Ethical Hacker (CEH) の開発元であり、実践的なサイバー・セキュリティ教育の世界的リーダーである EC-Council が、Enterprise AI Credential Suite を発表した。それと同時に、4つの新しいロールベース AI 資格と、刷新されたエグゼクティブ向けプログラム Certified CISO v4 も公開した。

Cisco ファイアウォールの 48 件の脆弱性が FIX：CVE-2026-20079／20131 の CVSS 値は 10.0

Cisco Patches 48 Firewall Vulnerabilities with Two CVSS 10 Flaws

2026/03/06 hackread — Cisco が公表したのは、Secure Firewall の Adaptive Security Appliance／Management Center／Threat Defense などのファイアウォール・プラットフォームに影響を及ぼす多数の脆弱性に対するセキュリティ・アップデートの詳細である。このリリースには、広く導入されているネットワーク・セキュリティ製品における 25 件のアドバイザリが含まれ、48 件の脆弱性が修正されている。

WordPress Membership Plugin の脆弱性 CVE-2026-1492 が FIX：管理者アカウントの不正作成

WordPress Membership Plugin Vulnerability Let Attackers Create Admin Accounts

2026/03/06 CyberSecurityNews — WordPress 用 User Registration & Membership プラグインに存在する、セキュリティ脆弱性 CVE-2026-1492 (CVSS：9.8：Critical) が、研究者 Foxyyy により発見された。この脆弱性を悪用する未認証の攻撃者は、セキュリティ制御を回避して管理者アカウントを作成できるため、結果として Web サイトが完全に乗っ取られる。User Registration & Membership プラグインは、カスタムな登録フォームの作成と、ユーザー・プロファイル管理を支援するものだ。

AVideo プラットフォームの脆弱性 CVE-2026-29058 が FIX：OS コマンド・インジェクションの恐れ

AVideo Platform Vulnerability Allows Hackers to Hijack Streams via Zero-Click Command Injection

2026/03/06 gbhackers — AVideo プラットフォームが公開したのは、OS コマンド・インジェクションの脆弱性 CVE-2026-29058 (CVSS：9.8) である。この脆弱性 (CWE-78：特殊要素の不適切な無害化) を悪用する未認証のリモート攻撃者は、ユーザー操作や特権を必要とすることなく、ゼロクリックで悪意のシェルコマンドを実行し、メディア・サーバの完全な乗っ取りを可能にする。

Claude AI が発見した Firefox の脆弱性 22 件：2 週間にわたる Mozilla との共同検証の成果とは？

Claude AI Uncovers 22 Firefox Vulnerabilities in Two Weeks

2026/03/06 CyberSecurityNews — 人工知能モデルは単純なコード補助ツールから、自律型の高度な脆弱性研究者へと急速に進化している。最近の Anthropic Claude Opus 4.6 は、厳しく監査されてきたはずのオープンソース・プロジェクトにおいて、500 件を超えるゼロデイ脆弱性を発見した。その一環として、2026年2月の 2 週間をかけて Mozilla と Anthropic が共同で実施した検証では、Firefox に存在していた 22 件のセキュリティ欠陥が Claude Opus 4.6 により特定されている。Mozilla は、そのうち 14 件を高深刻度と分類したが、この件数は、2025年に修正された Firefox の高深刻度脆弱性の約 20% に相当する。

Amazon AWS-LC の脆弱性 CVE-2026-3336／3337／3338 が FIX：証明書検証の回避の恐れ

AWS-LC Flaw Exposes Amazon Users to Attacks by Bypassing Certificate Chain Validation

2026/03/06 gbhackers — Amazon が公表した重大なセキュリティ速報 (2026-005-AWS) は、同社のオープンソース暗号ライブラリ AWS-LC に存在する、きわめて深刻な 3 件の脆弱性を詳述するものだ。AISLE Research Team との協調開示プロセスを通じて発見された、これらの脆弱性はクラウド・インフラに対して深刻なリスクをもたらすものだ。AWS-LC は、デジタル通信の保護における汎用暗号ライブラリとして、数多くの開発者に利用されている。

Apache ActiveMQ MQTT モジュールの脆弱性 CVE-2025-66168：整数オーバーフローと DoS 攻撃

Apache ActiveMQ Allow Attackers to Trigger DoS Attacks With Malformed Packets

2026/03/06 CyberSecurityNews — Apache ActiveMQ に存在する、脆弱性 CVE-2025-66168 (CVSS：5.4 Medium) の詳細が確認された。この脆弱性を悪用する認証済みの攻撃者は、不正に形成したネットワーク・パケットを送信することで、サービス拒否 (DoS) 攻撃を引き起こすことが可能である。この問題はセキュリティ研究者 Gai Tanaka により発見され、その後に、Apache メーリング・リスト上でメンテナー Christopher L. Shannon／Matt Pavlovich により確認された。

Cisco Catalyst SD-WAN ゼロデイ CVE-2026-20127：PoC エクスプロイト公開と実環境での悪用

PoC Exploit Released Cisco SD-WAN 0-Day Vulnerability Exploited in the Wild

2026/03/06 CyberSecurityNews — Cisco Catalyst SD-WAN Controller／SD-WAN Manager (vManage) に存在する最大深刻度のゼロデイ脆弱性 CVE-2026-20127 に対して PoC エクスプロイトが公開された。この脆弱性は、遅くとも 2023 年以降から現在にかけて、実環境で積極的に悪用されてきた。Cisco Talos によると、この活動は脅威クラスター UAT-8616 として追跡されている。同社は、「UAT-8616 は、世界中の重要インフラを標的とする、きわめて高度で洗練されたサイバー・アクターである」と説明している。

2025年の Zero‑Day 攻撃を分析：エンタープライズ・エッジデバイスの標的化がトレンド

Zero‑Day Attacks on Enterprise Software Reach Record High, Google Warns

2026/03/06 infosecurity — 企業向けのソフトウェア／アプライアンスで発見されたゼロデイ脆弱性の件数が、2025年に最高レベルに達したと、Google Threat Intelligence Group (GTIG) が警告している。3月5日に公開されたレポートで GTIG は、2025年中に実際の攻撃で悪用されたゼロデイ脆弱性 90件を追跡したと報告した。Google のゼロデイ定義は、”パッチが公開される前に、実際の環境で悪用された脆弱性” である。