主なポイント

✓ Ivanti EPMMの脆弱性CVE-2026-1281が悪用されており、特にスリーパーウェブシェルが使用されています。
✓ Ivantiは、顧客に対してパッチの適用を急ぐように呼びかけています。

社会的影響

! この脆弱性の悪用は、政府機関や企業に対する信頼を損なう可能性があります。
! 多くの組織がこの脆弱性により侵害を受けており、情報漏洩のリスクが高まっています。

編集長の意見

Ivanti EPMMの脆弱性CVE-2026-1281は、特に重要な問題であり、組織にとって深刻なリスクをもたらします。この脆弱性は、未認証の状態で悪用される可能性があり、攻撃者がシステムにアクセスするための入口を提供します。研究者たちが警告しているスリーパーウェブシェルは、攻撃者がシステムに侵入した後、悪用の準備を整えるために使用されるものであり、特定のトリガーが必要です。これにより、攻撃者はシステムの脆弱性を確認し、後続の攻撃を計画することができます。Ivantiは、顧客に対してパッチの適用を強く推奨しており、すでにいくつかの組織が侵害を受けたことが報告されています。特に、オランダのデータ保護当局やフィンランドの中央政府ICTサービスセンターが被害を受けており、これにより多くの組織が影響を受ける可能性があります。今後、組織はこの脆弱性に対する対策を講じる必要があり、特にパッチの適用とフォレンジック調査が重要です。また、攻撃者の手法が進化する中で、継続的な監視と脆弱性管理が求められます。

解説

Ivanti EPMM未認証RCE（CVE-2026-1281）に「スリーパー」Webシェル、IABが踏み台化を準備しています

今日の深掘りポイント

「スリーパー」Webシェルは特定パラメータでのみ発火するため、通常監視やWAFの汎用シグネチャをすり抜けやすいです。ファイル改ざん監視（FIM）と“希少パラメータ”分析が実効的です。
初期アクセスブローカー（IAB）が植え付ける段階にあるなら、今は「静かな侵害」の期間です。無症候のうちに永続化を仕込まれる前提で、観測期間の延長と証跡保全を優先すべきです。
MDM/EMMは組織の“モバイル信頼チェーン”の根です。コンソール侵害は端末への悪性プロファイル配信や証明書濫用に直結し、再登録・証明書ローテーションまで視野に入れた復旧計画が要ります。
パッチ公開から大規模悪用までの“数日〜数週の窓”が最も危険です。インターネット公開の恒常運用を見直し、メンテ時はVPN限定や一時遮断の“縮退運用”を標準化すると被害確率を下げられます。
Javaクラスローダー連鎖による「ダイアモンド」構造は静的解析を攪乱します。サプライアンスに頼らず、JAR/WAR改変差分・反射API濫用・Base64/暗号APIの異常混在といった“用途不相応な組み合わせ”を狙ったルールで補完するのが現実解です。

はじめに

Ivanti Endpoint Manager Mobile（EPMM）における未認証リモートコード実行（CVE-2026-1281）の悪用が立ち上がり、研究者は「スリーパー（遅延発火型）」Webシェルの植え付けに警鐘を鳴らしています。報道によれば、攻撃側は特定のトリガーパラメータを要求する“ダイアモンド型”のJavaクラスローダーを用い、今は静かに初期アクセスの在庫化を進めている段階と見られます。Ivantiはパッチ適用を強く推奨しており、一部組織で侵害の報告も出ています。
この手の「静かな入口づくり」は、検知がつまずくポイントを的確に突いてきます。今日のPickUpでは、事実関係の整理に加え、現場で効くハント視点と、MITRE ATT&CKに沿った脅威シナリオを立て、何から手を打つべきかを具体化します。

深掘り詳細

事実関係（公開情報の整理）

EPMMの未認証RCEであるCVE-2026-1281を狙った攻撃が増加しており、「スリーパー」Webシェルの仕込みが観測されています。特定のクエリパラメータでのみ作動するため、表面的には正常な通信に見える設計です。
研究者は、複数の分岐・合流を持つ“ダイアモンド型”のJavaクラスローダー連鎖を確認し、悪性コードのロードには特定トリガーが要るものの、現時点でその起動は広範に確認されていないとしています。
Ivantiはパッチを提示済みで、公開報道では1月末の提供および2月上旬の追加セキュリティアップデートが示されています。すでに一部組織での侵害が報告され、早急な適用が呼びかけられています。
以上は公開報道に基づく整理で、詳細はHelp Net Securityの記事を参照ください（参考情報参照）です。

出典: Help Net Security: Ivanti EPMM sleeper webshell

編集部のインサイト（なぜ厄介で、どこを突くべきか）

スリーパー化の狙いは“在庫化”です。IABは派手に暴れません。低頻度・低帯域で植え付け、後から国家・ランサム陣営に転売するのが常道です。したがって「C2が見えない＝安全」とは限らず、ファイル改変・権限移譲・スケジューラ投入といった静的痕跡を先に探すのが筋です。
Javaクラスローダーの多段化は、静的YARAや単純なシグネチャでは抜けやすい構造です。反射API（java.lang.reflect.）、ClassLoader#defineClass、暗号/エンコード（javax.crypto., java.util.Base64）が同一JAR内で不自然に共存していないか、タイムスタンプの新しさと合わせてみる“組み合わせ検知”が効きます。
MDM/EMMの特性上、侵害は“機微情報の集中点”を直撃します。デバイス証明書、SCEP/MDMプッシュ用証明書、Android Enterprise連携トークン、ID連携シークレットなど、ひとつの管理面が破られると横に長い影響が広がります。パッチ適用だけでなく「どの鍵をいつローテーションするか」の手順が成否を分けます。
メトリクス上、差し迫った実務アクションの必要性が突出している一方で、ポジティブ要因が乏しいのは、攻撃手法が“見えにくい”ことに起因します。裏を返せば、露見前に能動的に棚卸し・隔離・再構築を回せる組織は被害の谷を短くできます。監視の“広さ”よりも、EPMM周辺の“深さ”に寄せる戦術が実用的です。

ハンティングの虎の巻（仮説ベースの実務ヒント）

ファイル改変の差分取得
- アプリケーションサーバ配下（例：webapps、lib、classes）のJAR/WAR/JSPの新規作成・更新を直近30日で棚卸しします。署名やハッシュの基準が取れるなら差分照合を実施します。
- 新規JSPのうち、パラメータ名が高エントロピー（英数字ランダム風）を期待するコード、あるいはパラメータ不在時に早期returnする分岐を重点レビューします。
ログから“希少パラメータ”を掘る
- 管理系エンドポイントへのHTTPリクエストで、低頻度パラメータ名（組織内で1〜数回しか出ない）の集合を抽出し、同一ソースから時刻をずらして小刻みに試行しているパターンを探索します。WAFやリバースプロキシの生ログが鍵です。
プロセス・スケジューラの異常
- アプリケーションサーバの実行ユーザからcurl/wget、bash、nc等が派生していないか、cron/systemdタイマの新規投入がないかを確認します。
ネットワーク外向きのベースライン化
- EPMMが通常到達すべき先（Apple/Googleの通知先、ベンダの更新サイト等）をホワイトリスト化し、それ以外のTLS外向きを一時ブロックまたは監査に落とします。未知SNI/ASNへの新規通信をアラート化します。

上記は一般的なJavaベースWebアプリに対するハンティングのベストプラクティスを、今回の手口に合わせて焦点化したものです。環境に応じて無理のない範囲で適用してください。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説的シナリオです。実環境の痕跡と突き合わせて適宜調整してください。

初期侵入（T1190: Exploit Public-Facing Application）
- 未認証RCEを用いてEPMMの管理面に侵入し、アプリ層で任意コード実行に到達します。
- 参考: MITRE ATT&CK T1190
永続化・実行（T1505.003: Web Shell、T1059: Command and Scripting Interpreter）
- トリガーパラメータ依存のスリーパーWebシェルを設置し、平時は無反応にします。必要時のみコマンド実行や追加ペイロード導入に用います。
- 参考: T1505.003、T1059
防御回避（T1027: Obfuscated/Compressed Files and Information、T1036: Masquerading）
- クラスローダー連鎖や反射を使い、静的シグネチャを回避しつつ正規ファイル名・タイムスタンプを偽装します。
発見と資格情報狩り（T1082: System Information Discovery、T1552: Unsecured Credentials）
- 設定ファイルや連携トークン、証明書格納の所在を探索し、ファイル/キーストアからの機密抽出を試みます。
横展開（T1021.001: Remote Services: SSH、T1072: Software Deployment Tools）
- 管理面から内向きコネクタやID連携先へ到達し、管理用資格情報を使って横移動を図ります。
C2とデータ外送（T1071.001: Web Protocols、T1041: Exfiltration Over C2 Channel）
- HTTP(S)ベースのC2で低帯域に指令を往復し、資格情報・設定・在庫データを外送します。
- 参考: T1071.001、T1041
事業影響（仮説）
- 端末への悪性プロファイル配信、信頼済みルート証明書の押し込み、VPN/メール等の業務プロファイル改ざんにより、広範な通信の中間者化や情報流出が起こり得ます。
- IAB経由での転売後、ランサムウェア運用部隊が横展開・暗号化（T1486）に移る二段構えも十分想定されます。

注意: 上記は公開報道と一般的な攻撃パターンに基づく仮説です。自組織のネットワーク設計やEPMM実装差により適用は変わります。

セキュリティ担当者のアクション

優先度順に整理します。侵害の可能性が少しでもある場合は、復旧は「再構築を前提」に検討します。

今すぐ（0〜24時間）
- 直ちに最新パッチを適用し、公開インターネットからの到達を遮断またはVPN限定に縮退します。
- EPMMホストのイメージ取得（可能な範囲で）と全ログ（アプリ、リバプロ/WAF、OS、DNS、FW）の保全を行います。
- 既知IOCが提示されていれば一括スキャンし、疑わしいアーティファクト（新規JSP/JAR、Cron、root以外の新規sudo権限付与）を隔離します。
48時間以内
- “希少パラメータ”分析とファイル改変差分のハンティングを実施します。
- アプリ実行ユーザから派生した外向き通信の棚卸しを行い、未知宛先は遮断します。
- ベンダサポートへの事象連携と、フォレンジック支援の要否判断を実施します。
7日以内
- 侵害の疑いが残る場合、EPMMを新規ビルドで再構築し、最新アップデート適用後に構成をリストアします（設定は人手で見直し、ファイルコピーは最小限にします）。
- 証明書・シークレット類のローテーション計画を実施します（例：APNs/MDMプッシュ証明書、SCEP/CA関連、Android Enterprise連携トークン、IdP連携シークレット、管理者アカウント・APIキー）。必要に応じ、段階的な端末再登録も検討します。
- 検知強化ルールの恒常運用化（FIM、反射/クラスローダー/暗号APIの不自然共存検知、低頻度パラメータ監視、外向き未知TLSブロック）を行います。
継続対応
- “パッチ公開＝即リスク顕在化”を前提に、インターネット公開機器の即日隔離・即日適用の業務手順を定着させます。
- MDM/EMMを「特権システム」と再定義し、ゼロトラストのセグメンテーション、特権アクセスワークフロー、監査ログの90日以上保持を標準にします。
- 机上演習：EPMM侵害を前提に、証明書ローテーションと端末再登録の“切り戻しなし”手順を年1回はドリルします。

最後に——この種の攻撃は“静か”であるがゆえに、最初の一手が結果を大きく左右します。今日は派手な検知より、淡々とした棚卸しと縮退運用こそが、将来の大きな事故を防ぐ最短距離になります。現場の皆さんの判断と行動が、組織のモバイル信頼を守ります。

参考情報

注: 本稿は公開報道に加え、一般的な攻撃手法と運用経験に基づく仮説・推論を含みます。実際の環境・証跡に基づき適切に調整してください。

背景情報

i CVE-2026-1281は、IvantiのEndpoint Manager Mobileソリューションにおける重要な脆弱性であり、未認証の状態で悪用される可能性があります。この脆弱性は、攻撃者がシステムにアクセスするための入口を提供します。
i 研究者たちは、特定のトリガーが必要なスリーパーウェブシェルが使用されていることを確認しました。このウェブシェルは、悪用が行われる前にシステムの脆弱性を確認するために使用されます。

メトリクス