February 6, 2026 – IoT OT Security News

CISA KEV 警告 26/02/05：React Native Community CLI の脆弱性 CVE-2025-11953 を登録

CISA Warns of React Native Community Command Injection Vulnerability Exploited in Attacks

2026/02/06 CyberSecurityNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、React Native Community CLI に存在する OS コマンド・インジェクションの脆弱性 CVE-2025-11953 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、実環境において既に悪用されていることが確認されている。この脆弱性情報は 2026年2月5日に KEV に追加され、連邦機関に対する修正期限は 2026年2月26日と定められている。CISA は FCEB 機関に対し、迅速な対応を強く求めている。米政府組織は BOD 22-01 に従い、AWS／Azure などのクラウド・サービスにおいて最小権限アクセスを徹底する必要がある。

Microsoft 365 OAuth トークン・ハイジャック：公開 API／不正なリクエスト／エラー・メッセージの悪用

Phishing and OAuth Token Flaws Lead to Full Microsoft 365 Compromise

2026/02/06 CyberSecurityNews — 現代の Web アプリケーションにおける想定外の攻撃対象領域は、ニュースレター登録／問い合わせフォーム／パスワードリセットなどの、無害に見えるユーザー・エンゲージメント機能を通じて生み出されている。個々の脆弱性について言えば、単体では対処や管理が可能と思われるが、高度な攻撃者たちは、こうした小さな欠陥を連鎖させている。その結果として、Microsoft 365 などで壊滅的な侵害が引き起こされ、攻撃者たちは目的を達成していく。

Zscaler が SquareX を買収：企業におけるブラウザ・セキュリティを強化

Zscaler Integrates SquareX to Deliver Stronger Browser Security Protections

2026/02/06 gbhackers — クラウド・セキュリティ分野のグローバル・リーダーである Zscaler が、SquareX に対する買収の完了を発表した。この戦略的な買収は、Zscaler の Zero Trust 機能を Web ブラウザに直接拡張し、AI 時代におけるエンタープライズ業務を効果的に保護することを目的としている。2026年2月5日に完了した買収により、ユーザー組織における管理対象外デバイスの保護方法が再定義されることになる。

Bulletproof Hosting Provider (BHP) の実態：犯罪エコシステムの一部が判明

Bulletproof Hosting Providers Exploit Legitimate ISPs to Power Cybercrime Servers

2026/02/06 gbhackers — 正規の IT ソフトウェアと大規模なサイバー犯罪活動との間に存在する、意外な関連性が明らかになった。WantToCry ランサムウェア・ギャングによる攻撃を調査する過程でアナリストが気づいたのは、同一のコンピュータ名 (ホスト名) を持つ仮想マシン (VM) を、攻撃者たちが使用していることだった。具体的には、ISPsystem が Windows VM を作成する際のデフォルト設定である、WIN-J9D866ESIJ2 や WIN-LIVFRVQFMKO といった名称である。これらの名称はランダムなものではなく、Web サーバ管理ソフトウェアを開発する完全に正規の企業である、ISPsystem により自動生成されたものだった。

OpenAI が立ち上げた Trusted Access for Cyber：GPT-5.3-Codex による脆弱性の発見／修正

OpenAI Launches Trusted Access to Strengthen Cybersecurity Protections

2026/02/06 gbhackers — OpenAI が発表したのは、同社の最先端 AI モデルがもたらすリスクを低減し、サイバー・セキュリティ防御を強化する、新たな ID／Trust ベースのフレームワーク Trusted Access for Cyber である。このイニシアティブの中核となるのは、OpenAI で開発されたサイバー領域特化型のフロンティア推論モデル GPT-5.3-Codex である。このモデルは、複雑なセキュリティ・タスクを完了するために、数時間から数日間にわたり自律的に動作する能力を有する。

CentOS 9 の脆弱性 CVE-N/A：PoC が実証する深刻な権限昇格と No Patch

CentOS 9 Security Flaw Enables Privilege Escalation – PoC Released

2026/02/06 gbhackers — CentOS 9 で発見されたセキュリティ脆弱性は、ローカル・ユーザーに対して root 権限へ昇格を許す深刻なものである。この脆弱性は、Linux kernel のネットワーク・サブシステムに存在する Use-After-Free (UAF) 状態に起因するものであり、TyphoonPWN 2025 ハッキング・コンテストの Linux カテゴリにおいて 1 位を獲得したものだ。

F5 の脆弱性 CVE-2026-22548／22549／1642 などが FIX：BIG-IP や NGINX などに影響

F5 Patches Critical Vulnerabilities in BIG-IP, NGINX, and Related Products

2026/02/06 CyberSecurityNews — 2026年2月4日に F5 は、February 2026 Quarterly Security Notification を公開し、複数の Medium〜Low レベルの脆弱性と、BIG-IP／NGINX／コンテナ・サービスに影響するセキュリティ露出について情報を提供した。これらの問題は、Denial-of-Service (DoS) リスクやコンフィグ上の弱点に起因するものであり、Web Application Firewall (WAF) や Kubernetes ingress などの、高トラフィック環境の可用性が阻害される可能性がある。

CISA KEV 警告 26/02/05：SmarterMail の脆弱性 CVE-2026-24423 を登録

CISA Advisory Highlights Exploited SmarterTools Vulnerability in Recent Ransomware Attacks

2026/02/06 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SmarterTools SmarterMail に影響を及ぼす深刻な脆弱性 CVE-2026-24423 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性を悪用する攻撃者たちは、実環境における武器化を積極的に進めている。最近のランサムウェア・キャンペーンにおいて、この欠陥が悪用されていることを、セキュリティ研究者たちが確認している。

OpenClaw 上の 3rd-Party “skill” の 17% は悪意：暗号通貨や SNS を標的に機密データを収集

17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware

2026/02/06 hackread — 新たなオープンソース AI プロジェクトである OpenClaw が、GitHub で 16万以上のスターを獲得し、開発者コミュニティを席巻している。OpenClaw は AI ツール・ボックスであり、複数のアプリケーションにまたがってアカウント管理やタスク実行を行える。しかし、周知のとおり、大きな注目が集まる場所には、詐欺師も必ず近づいてくる。このエコシステムを調査した Bitdefender Labs の研究者たちにより、看過できない問題が明らかになった。