主なポイント

✓ Ivantiは、EPMMにおける2つのゼロデイ脆弱性を修正しました。これらはすでに悪用されており、非常に危険です。
✓ 脆弱性は、認証なしでのリモートコード実行を可能にし、攻撃者がネットワーク内での横移動を行うリスクがあります。

社会的影響

! 企業のモバイルデバイス管理におけるセキュリティの重要性が再認識されることが期待されます。
! この脆弱性の悪用により、個人情報が漏洩するリスクが高まるため、顧客の信頼が損なわれる可能性があります。

編集長の意見

IvantiのEPMMにおけるゼロデイ脆弱性は、企業のセキュリティにとって非常に深刻な問題です。特に、リモートコード実行が可能であるため、攻撃者はシステムに侵入し、データを盗むだけでなく、ネットワーク内での横移動を行うことができます。これにより、企業全体のセキュリティが脅かされる可能性があります。Ivantiは、影響を受けた顧客に対してバックアップからの復元を推奨していますが、これは最終手段であり、事前に適切なセキュリティ対策を講じることが重要です。特に、脆弱性が悪用される前に、パッチを適用することが求められます。さらに、企業は定期的にセキュリティ監査を行い、脆弱性を早期に発見する体制を整える必要があります。今後、同様の脆弱性が発生する可能性があるため、企業は常に最新の情報を把握し、迅速に対応できるように準備しておくことが重要です。特に、モバイルデバイス管理は企業の重要なインフラであるため、そのセキュリティを強化することが急務です。

解説

Ivanti EPMMの未認証RCEゼロデイ2件、すでに悪用進行—MDM管理プレーンの侵害は“組織全体侵害”と同義です

今日の深掘りポイント

管理プレーン（MDM/EMM）の侵害は、単一サーバの被害に留まらず「端末群・アイデンティティ・ネットワーク構成」まで波及する広域リスクです。パッチ適用だけでは被害の除去にならない前提で動くべきです。
今回は未認証のRCEで悪用進行中という点が最重要です。インターネットに公開された管理コンソールを直ちに遮断し、緊急パッチ、フォレンジック、証跡確認の順で動くべきです。
ベンダが「バックアップからの復元」を推奨しているのは、継続的な不正改変やウェブシェル設置の懸念が強いサインです。復元点の選定とクリーンビルド優先の意思決定が鍵です。
メトリクスを総合すると、緊急性・実行可能性ともにきわめて高く、影響範囲も大きい案件です。一方で新規性は限定的で、過去から繰り返される「MDMを起点とした横断侵害」という教訓が再確認された格好です。
MDMを「Tier 0（特権インフラ）」として扱い、公開縮減・ゼロトラスト網内化・証明書/トークンのローテーションまで含む一式の危機対応計画が不可欠です。

はじめに

IvantiのEndpoint Manager Mobile（EPMM）に、未認証でリモートコード実行（RCE）を許す重大なゼロデイが2件（CVE-2026-1281 / CVE-2026-1340）見つかり、すでに悪用が観測されています。CVSS 9.8という深刻度のとおり、管理プレーンに直結するRCEは攻撃者に幅広い操作余地を与えます。MDMは「端末の設定・証明書・アプリ配布・VPN・メール設定」という組織の要のハブです。ここが破られると、端末側だけでなくID基盤やネットワーク、クラウドへの連鎖的な影響が避けられません。Ivantiは影響が「限定的」としつつも、横移動や設定改変の可能性に言及し、バックアップからの復元を推奨しています。このメッセージは、単なるパッチ適用の範囲を超えた復旧オペレーションが想定されていることを示唆します。

出所としてはIvantiの告知内容を踏まえた報道が出ており、現時点で一般公開情報として確認できるのは以下です。

The Registerの報道（CVE、深刻度、悪用進行、復元推奨の言及） The Register

本稿は上記の公開情報と、MDM侵害時の一般的な被害様相に基づく分析を提示します。個別の戦術技術は仮説を含むため、その旨を明記します。

深掘り詳細

事実整理（今回分かっていること）

対象はIvanti EPMM（旧MobileIron Core系）です。
脆弱性は2件（CVE-2026-1281 / CVE-2026-1340）。いずれも未認証でのRCEを許すとされ、CVSS 9.8の「重大」評価です。
すでに限定的ながら悪用が観測されています。Ivantiは横移動や設定改変のリスクに言及し、影響顧客にはバックアップからの復元を推奨しています。
管理コンソールが外部公開されている環境では、ゼロクリックに近い初期侵入が成立しうるため、遮断とパッチ適用が緊急課題です。
参考：The Registerの報道にこれらの要点がまとまっています（一次の詳細パッチ情報やIOCは、Ivanti公式告知・顧客ポータルにあるはずですが本稿では未参照です） The Register

インサイト（なぜ危険で、どこまで波及するか）

MDMは“端末の司令塔”であると同時に、“組織の信頼連鎖の分岐点”です。EPMMを乗っ取られると、モバイル端末群に悪性プロファイルやアプリを一斉配布し、メール・VPN・Wi‑Fi・証明書などの設定を改ざんできます。ここからクラウド（M365/Google Workspace等）やID基盤へのフェデレーション侵害に繋がるリスクが跳ね上がります。
未認証RCEは「Web APIの乱用」より一段深いレベルで装置を掌握できるため、ウェブシェル設置、バックドア常駐、検知回避のためのログ改ざんなど“根の深い”居座りを許しやすいです。ベンダが復元を推奨するのは、こうした長期滞在型のリスク前提と読み解けます。
「限定的影響」という表現は、観測ベースの現状を示すに過ぎません。公開後の模倣攻撃やスキャン横行で被害が拡大するのが通例です。管理プレーンを外部に晒している環境は特に短時間での攻撃成功率が高まります。
メトリクス全体の印象としては、緊急度・実務的な対応可能性が突出しており、しかも広域影響が見込まれる案件です。新規性よりも「またMDMか」という既視感が強い一方で、だからこそ“運用側の態勢差”が結果を分けます。すなわち、インターネット非公開化、緊急パッチ手順の事前合意、証明書・トークンの即時ローテが可能な組織ほど、ダメージを最小化できます。

脅威シナリオと影響

以下は、今回の性質（未認証RCE・EPMM管理プレーン）から推定される仮説シナリオです。実環境の痕跡と合致するかは検証が必要です。

シナリオA：外部公開EPMMの即時侵害からのモバイル面展開
- 初期侵入：公開されたEPMMに対し未認証RCEを悪用（ATT&CK: T1190 Exploit Public-Facing Application）。
- 実行・持続化：ウェブシェルや不正サービスの設置、管理者アカウントの秘匿作成（T1505.003 Server Software Component: Web Shell、T1136 Create Account）。
- 権限昇格・防御回避：サービス設定改変、ログの消去やローテ妨害（T1068 Exploitation for Privilege Escalation、T1070 Indicator Removal）。
- コマンド&コントロール：HTTPS経由での遠隔操作（T1071.001 Web Protocols）。
- 影響：端末ポリシーの改ざん、悪性アプリ/証明書の一斉配布、メール/VPNプロファイルの中間者誘導など（T1556 Modify Authentication Processの一部に類似する設定悪用、T1565 Data Manipulation）。
- 波及：クラウドIDやメールへのアクセス強化、機密データ流出（T1530 Data from Cloud Storage、T1041 Exfiltration Over C2 Channel）。
シナリオB：EPMMを踏み台にオンプレ/クラウドへ横移動
- 内部探索：AD/IdP連携情報、データベース/コネクタ資格情報の探索（T1087 Account Discovery、T1046 Network Service Discovery）。
- 横移動：管理用リモートサービスやAPIコネクタを悪用（T1021 Remote Services、T1550 Use of Web Tokens）。
- 影響：IDプロバイダ構成の改ざん、SCEP/証明書発行経路の乗っ取りによる広域な信頼破壊（T1553 Subvert Trust Controls）。
シナリオC：滞在・静観型（事前配置）作戦
- 低頻度C2と控えめな構成変更のみで検知を回避し、危機時に端末群を一斉に撹乱・ワイプ・データ暗号化する準備を保持（T1489 Service Stop、T1490 Inhibit System Recovery、T1485 Data Destruction）。

影響面の要点は次のとおりです。

短期：端末群の信頼連鎖が崩れ、メール・VPN・MFA経路の信頼が揺らぎます。クラウド資産の二次侵害確率が高まります。
中期：証明書・トークンの全面ローテーションや再登録作業に伴う業務停止・ヘルプデスク負荷の急増が避けられません。
長期：MDM公開設計そのものの見直し、Tier 0区分の再定義、緊急パッチSLAの短縮、復旧演習の定常化が求められます。

セキュリティ担当者のアクション

以下は「被害発生の可能性がある」前提での実務的チェックリストです。可能な範囲で優先順位と時間軸に沿って進めます。

直ちに（0–24時間）
- 露出の遮断：EPMM管理UI/関連APIをインターネットから隔離し、社内VPN＋IP許可制のみにします。WAFに依存せず、経路そのものを閉じます。
- パッチ適用：Ivantiの最新修正を適用します。適用前にスナップショット/ディスクイメージを取得し、証跡を保持します。
- 攻撃痕跡の一次確認：
  - 管理者ユーザー/ロールに不審な追加がないか。
  - デバイスポリシー・アプリ配布・VPN/メール設定に直近変更がないか。
  - 管理サーバ上のWeb領域/タスク/サービスに不審なファイル・設定変更・新規常駐がないか（作成時刻・署名・所有者の不整合）。
  - 不明宛先への外向き通信（C2疑い）が増えていないか。
- 侵害が疑われる場合の初動：
  - ベンダ推奨どおり「バックアップからの復元」または「クリーンビルド再展開」を比較検討します。復元点は最小でも公表日より十分前に遡り、改ざん混入の可能性を評価します。
  - 速やかにIR体制（法務/広報/経営）を起動します。
48–72時間
- 資格情報・信頼のローテーション（影響があり得る場合は“広め”に実施）：
  - EPMMが保持/参照するAD/LDAPバインドアカウント、DB接続、API/IdP連携シークレット。
  - APNs/FCMなど通知・配布に関わる鍵・証明書。
  - SCEP/デバイス証明書関連の中間CA/RA資格情報（該当する場合）。不正発行の有無も監査します。
- 端末側の健全性確認：
  - 直近で配布された構成プロファイル/アプリ/証明書に不審がないか。
  - 必要に応じて“強制再登録”や特定プロファイルの一括撤去を準備します。
- ログ・タイムラインの整理：管理サーバ・リバースプロキシ・FW・DNSのログを相関し、初回侵入時刻と活動の広がりを推定します。
7–30日
- 再発防止の設計変更：
  - 管理プレーンのゼロトラスト化（インターネット非公開、強固なMFA、端末/管理者のデバイス証明書検証、Privileged Access Workstationの採用）。
  - パッチSLAの短縮と緊急メンテのガバナンス合意（夜間・休日の即時適用が可能な体制）。
  - Tier 0資産としての区分見直し（EPMM、IdP、AD、VPN、RMMを同一レベルで保護）。
- 復旧演習：MDM再構築・端末再登録・証明書全面ローテのリハーサルを行い、RTO/RPOを計測します。
- モニタリング強化：公開面の継続監視、異常なポリシー変更・一括配布イベントの検知ルール、管理者行動のベースライン化を導入します。
ハンティングのヒント（一般論・仮説）
- 直近で作成/変更されたWebアプリ配下ファイルやスクリプトの洗い出し。
- 管理者権限の新規付与、権限セット変更の監査ログ確認。
- EPMMから外部へ出る新規通信宛先（特に短寿命VPSやCDN背後の未知FQDN）の抽出。
- デバイス群に一斉配布されたプロファイル/証明書/アプリの差分比較。

最後に、今回の案件は「パッチ＝完了」ではありません。管理プレーン侵害の特質上、バックドアや信頼の改変が静かに残るほど厄介です。クリーンビルド＋信頼ローテーションまで含めた“深呼吸の長い復旧”を設計しておくことが、結果的に早道になります。

参考情報

The Register: Ivanti EPMM zero-days being exploited; vendor advises patching and considering restore from backup https://go.theregister.com/feed/www.theregister.com/2026/01/30/ivanti_epmm_zero_days/

背景情報

i IvantiのEndpoint Manager Mobile (EPMM)は、企業のモバイルデバイス管理を行うためのソフトウェアです。今回の脆弱性は、認証なしでリモートからコードを実行できるため、攻撃者がシステムに侵入しやすくなります。特に、CVSSスコアが9.8という高評価は、深刻なリスクを示しています。
i 過去にもEPMMはリモートコード実行の脆弱性に見舞われており、攻撃者は一般的にウェブシェルを使用して持続的なアクセスを確保します。Ivantiは、特定のエラーページをターゲットにする傾向があると指摘しています。

メトリクス