CISAがHoneywell CCTVの重大な脆弱性(CVSS 9.8)を警告し、不正アクセスが可能に。Figureフィンテック侵害でソーシャルエンジニアリングにより約100万アカウントが流出。1億2,500万以上のダウンロードを持つ4つのVS Code拡張機能に重大な欠陥。Microsoft Copilotのバグが1月以降DLPポリシーをバイパス。
CISAは、重要インフラで使用される複数のHoneywell CCTV製品における重大な脆弱性を警告しています。攻撃者は認証なしでアカウントを乗っ取り、カメラ映像にアクセスできます。
研究者Souvik Kandaが発見したCVE-2026-1670は、「重要な機能に対する認証の欠如」に分類されます。この脆弱性により、認証されていない攻撃者がデバイスアカウントに関連付けられたリカバリーメールアドレスを変更でき、完全なアカウント乗っ取りが可能になります。
| モデル | ファームウェアバージョン |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
これらのNDAA準拠カメラは、米国政府機関、連邦請負業者、重要施設に導入されています。CISAは以下を推奨しています:
ブロックチェーンネイティブのフィンテック企業Figure Technology Solutionsが、約100万アカウントに影響する侵害を受けました。攻撃はソーシャルエンジニアリングにより実行されました。
銀行、信用金庫、フィンテックを含む250以上のパートナーと共に220億ドル以上の住宅資産を解放してきたFigureは、TechCrunchにこのインシデントを確認しました。攻撃者はボイスフィッシング(ビッシング)を使用して従業員を騙し、アクセスを取得しました。
ShinyHunters恐喝グループは、ダークウェブサイトで数千件のローン申請者からの2.5GBのデータを公開しました。これは、Okta、Microsoft、Googleの100以上の著名な組織のSSOアカウントを標的とする大規模キャンペーンの一部です。
攻撃者はITサポートを装い、従業員に電話をかけ、会社のログインポータルを模倣したフィッシングサイトに認証情報とMFAコードを入力させます。侵入後、Salesforce、Microsoft 365、Google Workspace、Slack、Dropboxを含む接続された企業アプリケーションへのアクセスを取得します。
OX Securityの研究者が、4つの人気VS Code拡張機能で複数の脆弱性を発見しました。3つのCVEは未パッチのままです。
「ハッカーは、悪意ある拡張機能1つ、または1つの拡張機能内の単一の脆弱性だけで、ラテラルムーブメントを実行し組織全体を侵害できます」と研究者は警告しています。
| CVE | 拡張機能 | CVSS | 影響 |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | 悪意あるWebサイト経由でのローカルファイル流出 |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | .mdファイル経由での任意のJavaScript実行 |
| CVE-2025-65715 | Code Runner | 7.8 | settings.json経由での任意コード実行 |
| — | Microsoft Live Preview | — | 機密ファイルの流出(v0.4.16で修正済み) |
Microsoft 365 Copilotのバグにより、AIアシスタントが機密メールを要約し、機密情報を保護するデータ損失防止(DLP)ポリシーをバイパスしていました。
CW1226324として追跡されるこのバグは、Copilotの「ワークタブ」チャット機能に影響します。送信済みアイテムと下書きフォルダ内のメール(自動化ツールによるアクセスを制限するように明示的に設計された機密性ラベル付きのメッセージを含む)を誤って読み取り、要約していました。
Microsoftは次のように述べています:「これは、すでにアクセスを許可されていない情報への誰かのアクセスを提供するものではありませんでした...設定更新がエンタープライズ顧客向けに全世界に展開されました。」
1月21日以降のCopilotのアクティビティログを確認してください。機密性ラベル付きのコンテンツが、意図した受信者以外に共有されたCopilotの要約に誤って含まれていなかったか検証してください。
テキサス州はTP-Link Systemsを提訴し、中国の国家支援ハッカーにファームウェアの脆弱性を悪用されることを許容しながら、ルーターを安全と偽って販売していたと告発しました。
アフリカ16カ国で651人を逮捕。430万ドル以上を回収。この作戦は、4,500万ドルの損失に関連する投資詐欺、モバイルマネー詐欺、詐欺的なローンアプリを標的としました。
ESETが、GoogleのGemini AIを使用して永続性を維持するAndroidマルウェアを発見しました。このマルウェアは生成AIを活用して画面を分析し、最近のアプリにピン留めし続けるための手順を段階的に生成します。
マサチューセッツ州の複数の税務申告事務所をハッキングし、810万ドル以上の還付金を求める不正な申告を行った罪で判決を受けました。
| 指標 | 値 |
|---|---|
| Figure侵害の影響アカウント数 | 967,200 |
| Honeywell CVEの深刻度(CVSS) | 9.8 |
| リスクのあるVS Code拡張機能のダウンロード数 | 1億2,500万以上 |
| Copilot DLPバイパスの期間 | 約30日 |
| INTERPOL逮捕者数(Op Red Card 2.0) | 651人 |
| ShinyHuntersの標的組織数 | 100以上 |
安全に。警戒を怠らず。
🗡️ KENSAIセキュリティチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →