March 9, 2026 – IoT OT Security News

Vaultwarden の脆弱性 CVE-2026-27802／27803 が FIX：権限昇格とデータ漏洩の可能性

Vaultwarden Vulnerabilities Enable Privilege Escalation and Data Exposure

2026/03/09 gbhackers — Bitwarden 互換として、Rust 言語で実装された代替ソリューション Vaultwarden に、2件の深刻な脆弱性が発見された。脆弱性 CVE-2026-27803 (CVSS：8.3 High)／CVE-2026-27802 (CVSS：8.3 High) を悪用する攻撃者は、侵害済みの Manager アカウントを介して、認可チェックの回避と権限の昇格を行い、保存済みの機密認証情報を漏洩させる可能性がある。

Apache ZooKeeper の脆弱性 CVE-2026-24308／24281 が FIX：機密ログの漏洩とサーバなりすましの恐れ

Apache ZooKeeper Flaw Exposes Sensitive Data to Attackers

2026/03/09 gbhackers — 分散システムにおけるコンフィグ情報の命名と管理に使用される、集中型サービス Apache ZooKeeper に、重要なセキュリティ更新が提供された。 Apache Software Foundation によると、本番環境において機密データの漏洩やサーバなりすましを引き起こす可能性がある、2 件の Important レベルの脆弱性 CVE-2026-24308／CVE-2026-24281 が対処されたという。

AI ツールを装う Chrome エクステンション：企業データを大量収集していると Microsoft が警告

Microsoft: Fake AI Extensions Breached Chat Histories in 20,000+ Enterprise Tenants

2026/03/09 gbhackers ‐‐‐ 正規の AI アシスタント・ツールを装う、悪意の Chromium ベースのブラウザ・エクステンションの大規模な配布を、Microsoft が確認し、警告を発している。ChatGPT や DeepSeek に関連する一連のエクステンションは、Chrome Web Store で公開され、Google Chrome／Microsoft Edge の両方に対応している。しかし実際には、ブラウザ内の機密データおよび AI チャット内容を秘密裏に収集するものである。

CISA KEV 警告 26/03/05：Apple macOS／iOS などにおける複数の脆弱性を登録

CISA Warns of macOS and iOS Vulnerabilities Exploited in Attacks

2026/03/09 CyberSecurityNews — 2026年3月5日に CISA は、macOS／iOS／iPadOS などの Apple 製品に影響する 3 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この追加は、脅威アクターが実環境でこれらの欠陥を悪用していることを示すものであり、ネットワーク防御担当者に対する警告である。サイバー・リスクを管理する組織にとっては、即時のパッチ適用が最優先事項となる。

API と AI のセキュリティ相関性：長年にわたり放置されてきた弱点が AI の拡大により露呈

Report Surfaces Higher Correlation Between API and AI Security

2026/03/09 SecurityBoulevard — Wallarm の “2026 API ThreatStats Report” によると、2025年に公開された 67,058件の脆弱性を分析した結果として、11,053件 (17%) が API (Application Programming Interface) に関連していたことが判明した。また、CISA が管理する Known Exploited Vulnerabilities (KEV) カタログに、2025年を通じて追加された脆弱性の 43% が API 関連であったことも、このレポートは指摘している。

Transparent Tribe の “vibeware”：AI 支援により大量生産されるマルウェアの脅威とは？

Transparent Tribe’s ‘Vibeware’ Move Points to AI-Made Malware at Scale

2026/03/09 gbhackers — Transparent Tribe (APT36) は、従来の既製ツール中心の運用から、“vibeware” と呼ばれる AI 支援型のマルウェア・モデルへ移行している。この現象が示すのは、LLM による低洗練度の持続的な攻撃が、産業規模で生み出される段階に入ったことだ。インドの政府機関や大使館などに対する最近のキャンペーンで、このグループは AI 主導の開発パイプラインへ移行し、複数の言語で書かれた使い捨て型インプラントを継続的に生成している。

ExifTool の脆弱性 CVE-2026-3102 が FIX：悪意の画像による RCE

Critical ExifTool Flaw Lets Malicious Images Trigger Code Execution on macOS

2026/03/09 CyberSecurityNews — macOS システムが本質的にマルウェア耐性を持つという従来の認識が、新たに発見された脆弱性 CVE-2026-3102 により揺らいでいる。Kaspersky の Global Research and Analysis Team (GReAT) は、改竄された画像ファイルを処理するだけで、Mac 上で悪意のコード実行が可能になるという重大な欠陥を特定した。