CISAがHoneywell CCTVの重大な脆弱性(CVSS 9.8)を警告し、不正アクセスが可能に。Figureフィンテック侵害でソーシャルエンジニアリングにより約100万アカウントが露出。1億2,500万以上のダウンロードを持つ4つのVS Code拡張機能に重大な脆弱性。Microsoft Copilotのバグが1月以降DLPポリシーをバイパス。
CISAは、重要インフラで使用されている複数のHoneywell CCTV製品における重大な脆弱性を警告しています。攻撃者は認証なしでアカウントを乗っ取り、カメラフィードにアクセスできます。
研究者Souvik Kandaが発見したCVE-2026-1670は「重要な機能に対する認証の欠如」に分類されます。この脆弱性により、未認証の攻撃者がデバイスアカウントに関連付けられた回復メールアドレスを変更でき、完全なアカウント乗っ取りが可能になります。
| モデル | ファームウェアバージョン |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
これらのNDAA準拠カメラは、米国政府機関、連邦請負業者、重要施設に配備されています。CISAは以下を推奨しています:
ブロックチェーンネイティブのフィンテック企業Figure Technology Solutionsが、約100万アカウントに影響する侵害を受けました。攻撃はソーシャルエンジニアリングにより実行されました。
250以上のパートナー(銀行、信用組合、フィンテックを含む)を通じて220億ドル以上のホームエクイティを解放したFigureは、TechCrunchにインシデントを確認しました。攻撃者はボイスフィッシング(ビッシング)を使用して従業員を騙し、アクセスを提供させました。
ShinyHunters恐喝グループが、数千人のローン申請者からの2.5GBのデータをダークウェブサイトにリークしました。これは、Okta、Microsoft、GoogleのSSOアカウントを標的とする100以上の著名な組織に対するより大規模なキャンペーンの一部です。
攻撃者はITサポートを偽装し、従業員に電話をかけ、会社のログインポータルを偽装したフィッシングサイトに認証情報とMFAコードを入力させるよう騙します。侵入後、Salesforce、Microsoft 365、Google Workspace、Slack、Dropboxなどの接続されたエンタープライズアプリケーションにアクセスします。
OX Securityの研究者が、4つの人気VS Code拡張機能に複数の脆弱性を発見しました。3つのCVEは未パッチのままです。
「ハッカーは悪意のある拡張機能1つ、または1つの拡張機能内の単一の脆弱性があれば、水平移動を行い組織全体を侵害できます」と研究者は警告しています。
| CVE | 拡張機能 | CVSS | 影響 |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | 悪意のあるWebサイトによるローカルファイル窃取 |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | .mdファイルを介した任意のJavaScript実行 |
| CVE-2025-65715 | Code Runner | 7.8 | settings.jsonを介した任意のコード実行 |
| — | Microsoft Live Preview | — | 機密ファイルの窃取(v0.4.16で修正済み) |
Microsoft 365 Copilotのバグにより、AIアシスタントが機密情報を保護するデータ損失防止(DLP)ポリシーをバイパスして機密メールを要約していました。
CW1226324として追跡されるこのバグは、Copilotの「ワークタブ」チャット機能に影響します。送信済みアイテムと下書きフォルダのメールを誤って読み取り要約していました — 自動ツールによるアクセスを制限するように明示的に設計された機密性ラベルを持つメッセージを含みます。
Microsoftは述べています:「これにより、すでにアクセスを許可されていない情報へのアクセスが誰かに提供されたわけではありません...設定更新がエンタープライズ顧客向けに全世界に展開されました。」
1月21日以降のCopilotアクティビティログを確認してください。感度ラベル付きコンテンツが、意図した受信者を超えて共有されたCopilot要約に不注意に含まれていないか確認してください。
テキサス州がTP-Link Systemsを提訴し、中国の国家支援ハッカーがファームウェアの脆弱性を悪用することを許容しながら、ルーターを安全として欺瞞的に販売していると非難しました。
16のアフリカ諸国で651人を逮捕。430万ドル以上を回収。投資詐欺、モバイルマネー詐欺、4,500万ドルの損失に関連する不正融資アプリを標的とした作戦。
ESETが、GoogleのGemini AIを使用して永続性を維持するAndroidマルウェアを発見しました。このマルウェアは生成AIを活用して画面を分析し、最近のアプリに自身をピン留めするためのステップバイステップの手順を生成します。
マサチューセッツ州の複数の税務申告事務所をハッキングし、810万ドル以上の還付金を求める不正申告を行った罪で有罪判決。
| 指標 | 値 |
|---|---|
| Figure侵害の影響アカウント数 | 967,200 |
| Honeywell CVE深刻度(CVSS) | 9.8 |
| リスクのあるVS Code拡張機能のダウンロード数 | 1億2,500万以上 |
| Copilot DLPバイパスの期間 | 約30日間 |
| INTERPOL逮捕者数(Op Red Card 2.0) | 651 |
| ShinyHuntersの標的組織数 | 100以上 |
安全を保ちましょう。警戒を怠らないでください。
🗡️ KENSAIセキュリティチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →