セキュリティブリーフィング 2026年2月19日 7分で読了

Honeywell CCTV認証バイパス + Figure 100万アカウント侵害

CISAがHoneywell CCTVの重大な脆弱性(CVSS 9.8)を警告し、不正アクセスが可能に。Figureフィンテック侵害でソーシャルエンジニアリングにより約100万アカウントが露出。1億2,500万以上のダウンロードを持つ4つのVS Code拡張機能に重大な脆弱性。Microsoft Copilotのバグが1月以降DLPポリシーをバイパス


緊急:Honeywell CCTV認証バイパス

CISAアドバイザリ:CVE-2026-1670 — CVSS 9.8

CISAは、重要インフラで使用されている複数のHoneywell CCTV製品における重大な脆弱性を警告しています。攻撃者は認証なしでアカウントを乗っ取り、カメラフィードにアクセスできます。

研究者Souvik Kandaが発見したCVE-2026-1670は「重要な機能に対する認証の欠如」に分類されます。この脆弱性により、未認証の攻撃者がデバイスアカウントに関連付けられた回復メールアドレスを変更でき、完全なアカウント乗っ取りが可能になります。

影響を受けるモデル

モデル ファームウェアバージョン
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

これらのNDAA準拠カメラは、米国政府機関、連邦請負業者、重要施設に配備されています。CISAは以下を推奨しています:


Figureフィンテック:967,200アカウントが侵害

ShinyHuntersがソーシャルエンジニアリング攻撃の犯行を主張

ブロックチェーンネイティブのフィンテック企業Figure Technology Solutionsが、約100万アカウントに影響する侵害を受けました。攻撃はソーシャルエンジニアリングにより実行されました。

250以上のパートナー(銀行、信用組合、フィンテックを含む)を通じて220億ドル以上のホームエクイティを解放したFigureは、TechCrunchにインシデントを確認しました。攻撃者はボイスフィッシング(ビッシング)を使用して従業員を騙し、アクセスを提供させました。

露出したデータ

ShinyHunters恐喝グループが、数千人のローン申請者からの2.5GBのデータをダークウェブサイトにリークしました。これは、Okta、Microsoft、GoogleのSSOアカウントを標的とする100以上の著名な組織に対するより大規模なキャンペーンの一部です。

🎯 攻撃パターン

攻撃者はITサポートを偽装し、従業員に電話をかけ、会社のログインポータルを偽装したフィッシングサイトに認証情報とMFAコードを入力させるよう騙します。侵入後、Salesforce、Microsoft 365、Google Workspace、Slack、Dropboxなどの接続されたエンタープライズアプリケーションにアクセスします。


VS Code拡張機能:1億2,500万以上のダウンロードに影響

重大な脆弱性によりファイル窃取とリモートコード実行が可能

OX Securityの研究者が、4つの人気VS Code拡張機能に複数の脆弱性を発見しました。3つのCVEは未パッチのままです。

「ハッカーは悪意のある拡張機能1つ、または1つの拡張機能内の単一の脆弱性があれば、水平移動を行い組織全体を侵害できます」と研究者は警告しています。

CVE 拡張機能 CVSS 影響
CVE-2025-65717 Live Server 9.1 悪意のあるWebサイトによるローカルファイル窃取
CVE-2025-65716 Markdown Preview Enhanced 8.8 .mdファイルを介した任意のJavaScript実行
CVE-2025-65715 Code Runner 7.8 settings.jsonを介した任意のコード実行
Microsoft Live Preview 機密ファイルの窃取(v0.4.16で修正済み)

即時対応事項


Microsoft CopilotがDLPポリシーをバイパス

1月21日からバグが活動中 — 機密メールを要約

Microsoft 365 Copilotのバグにより、AIアシスタントが機密情報を保護するデータ損失防止(DLP)ポリシーをバイパスして機密メールを要約していました。

CW1226324として追跡されるこのバグは、Copilotの「ワークタブ」チャット機能に影響します。送信済みアイテムと下書きフォルダのメールを誤って読み取り要約していました — 自動ツールによるアクセスを制限するように明示的に設計された機密性ラベルを持つメッセージを含みます。

タイムライン

Microsoftは述べています:「これにより、すでにアクセスを許可されていない情報へのアクセスが誰かに提供されたわけではありません...設定更新がエンタープライズ顧客向けに全世界に展開されました。」

エンタープライズへの推奨事項

1月21日以降のCopilotアクティビティログを確認してください。感度ラベル付きコンテンツが、意図した受信者を超えて共有されたCopilot要約に不注意に含まれていないか確認してください。


その他のヘッドライン

テキサス州がTP-Linkを中国ハッキングリスクで提訴

テキサス州がTP-Link Systemsを提訴し、中国の国家支援ハッカーがファームウェアの脆弱性を悪用することを許容しながら、ルーターを安全として欺瞞的に販売していると非難しました。

INTERPOL Operation Red Card 2.0

16のアフリカ諸国で651人を逮捕430万ドル以上を回収。投資詐欺、モバイルマネー詐欺、4,500万ドルの損失に関連する不正融資アプリを標的とした作戦。

PromptSpy:Gemini AIを悪用する初のマルウェア

ESETが、GoogleのGemini AIを使用して永続性を維持するAndroidマルウェアを発見しました。このマルウェアは生成AIを活用して画面を分析し、最近のアプリに自身をピン留めするためのステップバイステップの手順を生成します。

ナイジェリアのハッカーが税金詐欺で8年の禁固刑

マサチューセッツ州の複数の税務申告事務所をハッキングし、810万ドル以上の還付金を求める不正申告を行った罪で有罪判決。


本日の数値

指標
Figure侵害の影響アカウント数 967,200
Honeywell CVE深刻度(CVSS) 9.8
リスクのあるVS Code拡張機能のダウンロード数 1億2,500万以上
Copilot DLPバイパスの期間 約30日間
INTERPOL逮捕者数(Op Red Card 2.0) 651
ShinyHuntersの標的組織数 100以上

本日の優先事項

  1. 隔離: Honeywell CCTVシステム — 直ちにネットワークセグメンテーションを適用
  2. 監査: VS Code拡張機能 — パッチが適用されるまでLive Server、Markdown Preview Enhanced、Code Runnerを無効化
  3. 訓練: ビッシング攻撃に関するセキュリティ意識向上(ShinyHuntersのプレイブック)
  4. 確認: Microsoft Copilot DLPコンプライアンス — 1月21日以降のアクティビティを確認
  5. 見直し: SSOセキュリティ制御 — MFAバイパス耐性

KENSAIで組織を保護

333,000以上のCVEをインデックスしたAI駆動の脆弱性管理。

無料スキャンを開始

安全を保ちましょう。警戒を怠らないでください。

🗡️ KENSAIセキュリティチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home