← セキュリティブログに戻る
セキュリティブリーフィング 2026年2月19日 7分で読了

Honeywell CCTV認証バイパス + Figure 100万アカウント侵害

CISAがHoneywell CCTVの重大な脆弱性(CVSS 9.8)を警告し、不正アクセスが可能に。Figureフィンテック侵害でソーシャルエンジニアリングにより約100万アカウントが流出。1億2,500万以上のダウンロードを持つ4つのVS Code拡張機能に重大な欠陥。Microsoft Copilotのバグが1月以降DLPポリシーをバイパス


緊急:Honeywell CCTV認証バイパス

CISAアドバイザリ:CVE-2026-1670 — CVSS 9.8

CISAは、重要インフラで使用される複数のHoneywell CCTV製品における重大な脆弱性を警告しています。攻撃者は認証なしでアカウントを乗っ取り、カメラ映像にアクセスできます。

研究者Souvik Kandaが発見したCVE-2026-1670は、「重要な機能に対する認証の欠如」に分類されます。この脆弱性により、認証されていない攻撃者がデバイスアカウントに関連付けられたリカバリーメールアドレスを変更でき、完全なアカウント乗っ取りが可能になります。

影響を受けるモデル

モデル ファームウェアバージョン
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

これらのNDAA準拠カメラは、米国政府機関、連邦請負業者、重要施設に導入されています。CISAは以下を推奨しています:


Figureフィンテック:96.7万アカウントが侵害

ShinyHuntersがソーシャルエンジニアリング攻撃の犯行を主張

ブロックチェーンネイティブのフィンテック企業Figure Technology Solutionsが、約100万アカウントに影響する侵害を受けました。攻撃はソーシャルエンジニアリングにより実行されました。

銀行、信用金庫、フィンテックを含む250以上のパートナーと共に220億ドル以上の住宅資産を解放してきたFigureは、TechCrunchにこのインシデントを確認しました。攻撃者はボイスフィッシング(ビッシング)を使用して従業員を騙し、アクセスを取得しました。

流出したデータ

ShinyHunters恐喝グループは、ダークウェブサイトで数千件のローン申請者からの2.5GBのデータを公開しました。これは、Okta、Microsoft、Googleの100以上の著名な組織のSSOアカウントを標的とする大規模キャンペーンの一部です。

🎯 攻撃パターン

攻撃者はITサポートを装い、従業員に電話をかけ、会社のログインポータルを模倣したフィッシングサイトに認証情報とMFAコードを入力させます。侵入後、Salesforce、Microsoft 365、Google Workspace、Slack、Dropboxを含む接続された企業アプリケーションへのアクセスを取得します。


VS Code拡張機能:1億2,500万以上のダウンロードに影響

重大な欠陥によりファイル流出とリモートコード実行が可能

OX Securityの研究者が、4つの人気VS Code拡張機能で複数の脆弱性を発見しました。3つのCVEは未パッチのままです。

「ハッカーは、悪意ある拡張機能1つ、または1つの拡張機能内の単一の脆弱性だけで、ラテラルムーブメントを実行し組織全体を侵害できます」と研究者は警告しています。

CVE 拡張機能 CVSS 影響
CVE-2025-65717 Live Server 9.1 悪意あるWebサイト経由でのローカルファイル流出
CVE-2025-65716 Markdown Preview Enhanced 8.8 .mdファイル経由での任意のJavaScript実行
CVE-2025-65715 Code Runner 7.8 settings.json経由での任意コード実行
Microsoft Live Preview 機密ファイルの流出(v0.4.16で修正済み)

即座の対応


Microsoft CopilotがDLPポリシーをバイパス

1月21日以降バグが活性化 — 機密メールを要約

Microsoft 365 Copilotのバグにより、AIアシスタントが機密メールを要約し、機密情報を保護するデータ損失防止(DLP)ポリシーをバイパスしていました。

CW1226324として追跡されるこのバグは、Copilotの「ワークタブ」チャット機能に影響します。送信済みアイテムと下書きフォルダ内のメール(自動化ツールによるアクセスを制限するように明示的に設計された機密性ラベル付きのメッセージを含む)を誤って読み取り、要約していました。

タイムライン

Microsoftは次のように述べています:「これは、すでにアクセスを許可されていない情報への誰かのアクセスを提供するものではありませんでした...設定更新がエンタープライズ顧客向けに全世界に展開されました。」

企業への推奨事項

1月21日以降のCopilotのアクティビティログを確認してください。機密性ラベル付きのコンテンツが、意図した受信者以外に共有されたCopilotの要約に誤って含まれていなかったか検証してください。


その他のヘッドライン

テキサス州がTP-Linkを中国ハッキングリスクで提訴

テキサス州はTP-Link Systemsを提訴し、中国の国家支援ハッカーにファームウェアの脆弱性を悪用されることを許容しながら、ルーターを安全と偽って販売していたと告発しました。

INTERPOLオペレーション Red Card 2.0

アフリカ16カ国で651人を逮捕430万ドル以上を回収。この作戦は、4,500万ドルの損失に関連する投資詐欺、モバイルマネー詐欺、詐欺的なローンアプリを標的としました。

PromptSpy:Gemini AIを悪用する初のマルウェア

ESETが、GoogleのGemini AIを使用して永続性を維持するAndroidマルウェアを発見しました。このマルウェアは生成AIを活用して画面を分析し、最近のアプリにピン留めし続けるための手順を段階的に生成します。

ナイジェリア人ハッカーが税金詐欺で8年の刑

マサチューセッツ州の複数の税務申告事務所をハッキングし、810万ドル以上の還付金を求める不正な申告を行った罪で判決を受けました。


本日の数字

指標
Figure侵害の影響アカウント数 967,200
Honeywell CVEの深刻度(CVSS) 9.8
リスクのあるVS Code拡張機能のダウンロード数 1億2,500万以上
Copilot DLPバイパスの期間 約30日
INTERPOL逮捕者数(Op Red Card 2.0) 651人
ShinyHuntersの標的組織数 100以上

本日の優先事項

  1. 隔離:Honeywell CCTVシステム — 直ちにネットワークセグメンテーションを適用
  2. 監査:VS Code拡張機能 — パッチ適用までLive Server、Markdown Preview Enhanced、Code Runnerを無効化
  3. 訓練:ビッシング攻撃に関するセキュリティ意識向上(ShinyHuntersのプレイブック)
  4. 検証:Microsoft Copilot DLPコンプライアンス — 1月21日以降のアクティビティを確認
  5. 確認:SSOセキュリティコントロール — MFAバイパス耐性

KENSAIで組織を守りましょう

333,000件以上のCVEをインデックス化したAI駆動の脆弱性管理。

無料スキャンを開始

安全に。警戒を怠らず。

🗡️ KENSAIセキュリティチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home