CISA（サイバーセキュリティおよびインフラストラクチャセキュリティ庁）は、複数のHoneywell CCTVカメラ製品で発見された深刻な脆弱性について警鐘を鳴らすアドバイザリーを発行しました。この脆弱性により、攻撃者がユーザーのアカウントを乗っ取り、不正にカメラの映像にアクセスすることが可能となります。

脆弱性の詳細

CVE ID: CVE-2026-1670
CVSSスコア: 9.8（深刻）
説明: この脆弱性は、影響を受けるHoneywell CCTV製品内で重要な機能に対する認証が欠如していることから生じています。成功した攻撃により、非認証の攻撃者がカメラアカウントに関連付けられた復元メールアドレスを変更することが可能となり、完全なアカウント乗っ取りにつながる可能性があります。

影響範囲

この脆弱性は、以下のHoneywell CCTVカメラモデルで特定のファームウェアバージョンを使用している場合に影響を受ける:

• I-HIB2PI-UL 2MP IP カメラ (バージョン 6.1.22.1216)
• SMB NDAA MVO-3, PTZ WDR 2MP 32M
• 25M IPC モデル（ファームウェアバージョン WDR_2MP_32M_PTZ_v2.0）

これらのカメラは、主に商業施設で使用されており、世界中で展開されています。

CISAの対応と推奨事項

CISAは、セキュリティ研究者Souvik Kandar氏からの報告を受け、2026年2月17日にアドバイザリー（ICSA-26-048-04）を発行しました。公のエクスプロイトが存在することについては、現在のところ確認されていません。

CISAは組織に対して、以下の対策を講じることを推奨しています:

• カメラシステムとインターネットに接続されているネットワークやビジネスシステムとの間でネットワークセグメンテーションを実施する
• カメラをファイアウォールの後ろに配置し、リモート管理にはVPNアクセスが必要とする
• 影響範囲の評価を行い、防御戦略を強化し、不審なアカウント活動や非公式な設定変更を監視する

元記事: https://gbhackers.com/cisa-alerts-organizations-to-honeywell-cctv-flaw/