Packet Pilot X (Twitter)
2026-01-30

Ivanti EPMMのゼロデイRCE脆弱性が悪用され、セキュリティ更新がリリース

Ivantiは、Ivanti Endpoint Manager Mobile (EPMM)に影響を与える2つのゼロデイ脆弱性に対するセキュリティ更新をリリースしました。これらの脆弱性は、米国サイバーセキュリティインフラストラクチャ庁(CISA)によって既知の悪用脆弱性カタログに追加されました。CVE-2026-1281とCVE-2026-1340は、いずれもリモートコード実行を可能にするコードインジェクションの脆弱性であり、CVSSスコアは9.8です。Ivantiは、これらの脆弱性が一部の顧客によって悪用されたことを認識しており、ユーザーに対してログの確認や設定の見直しを推奨しています。

メトリクス

このニュースのスケール度合い

6.5 /10

インパクト

8.5 /10

予想外またはユニーク度

8.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.5 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10

主なポイント

  • Ivantiは、EPMMに影響を与える2つのゼロデイ脆弱性に対するセキュリティ更新をリリースしました。
  • CVE-2026-1281とCVE-2026-1340は、リモートコード実行を可能にする重大な脆弱性です。

社会的影響

  • ! この脆弱性の悪用により、企業の機密情報が漏洩するリスクが高まります。
  • ! EPMMを使用する企業は、迅速な対応が求められ、セキュリティ対策の見直しが必要です。

編集長の意見

今回のIvanti EPMMに関するゼロデイ脆弱性は、企業のモバイルデバイス管理における重大なリスクを示しています。特に、リモートコード実行が可能な脆弱性は、攻撃者にとって非常に魅力的なターゲットとなります。企業は、これらの脆弱性に対する迅速な対応が求められます。Ivantiは、脆弱性の詳細な分析を行い、過去の攻撃手法を考慮した上で、ユーザーに対して具体的な対策を講じるよう呼びかけています。特に、ログの確認や設定の見直しは、早期に問題を発見するために重要です。また、EPMMのバージョンアップ時には、パッチが適用されないため、再度適用する必要があることも留意すべきです。今後、企業はモバイルデバイス管理におけるセキュリティ対策を強化し、脆弱性の早期発見と対応を行う体制を整えることが求められます。これにより、企業の情報資産を守ることができるでしょう。

解説

Ivanti EPMMのゼロデイRCEが実害化、CISAがKEV指定—“モバイル管理プレーン”を守るために今日すべきこと

今日の深掘りポイント

  • Ivanti EPMMにおける2件のゼロデイ(CVE-2026-1281/1340)がリモートコード実行(RCE)を許し、すでに限定的に悪用されています。CISAがKnown Exploited Vulnerabilities(KEV)に追加し、短期期限での対処を求めています。これは運用上の「今すぐ」案件です。
  • 侵害されたのがクライアント端末ではなく「MDM/EMMの管理プレーン」である点が本件のキモです。攻撃者は端末1台ではなく「全社のモバイル艦隊」を動かす権限を得る可能性があり、業務継続に直結します。
  • 実務上は「パッチ適用+侵害前提の確認」を同時並行で進めるべきです。パッチで入口を塞ぎつつ、管理者アカウントの新規作成、ポリシー改変、EPMMサーバからの不審な外向き通信などを重点的に狩ることが重要です。
  • モバイル管理はIdP、PKI、VPNプロファイルと深く結び付く“信頼の根”です。万一の侵害時はAPNs/FCMの証明書やSCEP/MDM用シークレットのローテーション、配布アプリ/構成プロファイルの棚卸しまで踏み込むべきです。
  • 中長期では、EPMMを「Tier-0資産」としてネットワーク分離、管理経路のmTLSやIP制限、監査証跡の保全、DRシナリオ(再構築とデバイス再登録)を事前に整えるのが再発防止の近道です。

はじめに

Ivanti Endpoint Manager Mobile(EPMM)に2件のゼロデイRCEが見つかり、一部環境で悪用が確認されています。CISAがKEVに登録し、短期の修正期限を示した時点で、これは「単なるパッチ案件」から「即応+根本対策」のフェーズに移っています。EPMMは各端末の設定・アプリ・証明書・VPNを束ねる管理プレーンであり、ここを奪われることは、個々の端末被害とは次元が異なる全社リスクを意味します。編集部としては、パッチ適用の前後で“侵害有無のクロスチェック”を必ず挟む運用を強くすすめます。今日の深掘りでは、事実関係の整理と、管理プレーン特有のリスクに焦点を当てた具体的な行動指針を提示します。

深掘り詳細

確認できている事実(ファクト)

  • IvantiはEPMMに影響する2件のゼロデイ脆弱性に対しセキュリティ更新をリリースしています。
  • 対象はCVE-2026-1281およびCVE-2026-1340で、いずれもコードインジェクションによりリモートコード実行が可能となる重大欠陥です。CVSSは9.8と非常に高い深刻度です。
  • Ivantiは限定的ながら悪用を認識しており、ログ確認や設定見直しを推奨しています。
  • CISAは少なくともCVE-2026-1281をKEVに追加し、連邦機関に短期期限での更新適用を要求しています(報道ベース)です。
  • 参考(報道): The Hacker News: Two Ivanti EPMM Zero-Day RCE Flaws

本稿は上記公開情報に基づく整理であり、技術詳細やパッチの適用範囲は今後更新される可能性があります。一次情報(ベンダーアドバイザリやCISAのKEVカタログ)で最新内容を必ず確認ください、という前提で読んでいただきたいです。

編集部のインサイト(なぜ危ないのか)

  • 管理プレーンの奪取は“艦隊制圧”です。EPMMを取られると、攻撃者は全端末へ構成プロファイルやアプリを一斉配布し、VPNやWi-Fiの設定を差し替え、証明書やトークンを収集する踏み台を得ます。端末側の防御を丁寧に積み上げても、管理プレーンが破られると容易に上書きされてしまうのが本質的脅威です。
  • MDM/EMMはIdP(SAML/OIDC)、PKI(SCEP/証明書配布)、MAM/アプリ配信、CASB/DLPなどと“信頼の連鎖”で結ばれています。EPMMのRCEは管理者権限の横展開やシークレット漏えいに直結し、結果としてメール、コラボ、ストレージなどSaaS全体の乗っ取り確率を押し上げます。
  • 実運用上の落とし穴として、緊急パッチやホットフィックスはメジャーアップグレード時に再適用が要る場合があります。報道やユーザー報告に基づく一般論ですが、「当てたつもり」にならないため、バージョン更新後の状態確認(ビルド番号、修正適用の成否)を運用手順に組み込むことを強くすすめます。

脅威シナリオと影響

ここからは仮説を含む想定シナリオを、MITRE ATT&CK(Enterprise)に沿って整理します。各組織のアーキテクチャに合わせて読み替えてください。

  • シナリオA:EPMM侵害からの全社モバイル掌握

    1. 初期侵入:公開EPMMへのRCE悪用(T1190: Exploit Public-Facing Application)
    2. 実行・持続化:Webシェル設置(T1505.003: Web Shell)、OSコマンド実行(T1059)
    3. 資格情報・構成の取得:設定ファイル/DBからシークレット抽出(T1552)、環境探索(T1082/T1087)
    4. 横展開:EPMMに保存されたディレクトリ連携資格情報等を用いた社内リソースアクセス(T1078: Valid Accounts、T1021: Remote Services)
    5. 端末制御:悪性アプリ/プロファイル/証明書の一斉配布、VPNルート差し替え(管理プレーン機能の悪用)。
    6. 情報搾取と外送:端末/サーバから機微情報収集(T1005)と送信(T1041)。
      影響:標的組織のモバイル環境全体が支配され、認証基盤やSaaSアクセスまで連鎖的に危殆化します。

  • シナリオB:EPMM経由でIdP/PKIへピボット(侵害連鎖)

    1. RCE後にEPMMの統合先(LDAP/IdP/SCEP)の設定・証明書・APIキーを収集(T1552)
    2. IdP管理者権限の窃取/奪取、条件付きアクセスの改変(T1078)
    3. 組織横断のシングルサインオンを悪用し、メール・ファイル共有・チケットシステムなどに静かに侵入(T1090/T1105のC2経路確立を含む可能性)
      影響:可視化が難しい「信頼の鎖」の深部で侵害が進行し、検知遅延が甚大な損失(長期潜伏・情報持続窃取)につながります。

  • シナリオC:破壊的インパクト(限定的だが看過不可)

    1. MDMポリシーを悪用して端末ロック/ワイプ、アプリ/設定の強制変更
    2. 認証方式やVPN設定の改変で業務停止を誘発
      影響:可用性への打撃が直接的な事業継続リスクを生みます。

重要なのは、これらが「端末レベルの攻撃」ではなく「管理プレーン悪用」であることです。検知・封じ込め・復旧の各フェーズが通常より重く、対応スコープも広がる前提で計画する必要があります。

セキュリティ担当者のアクション

  • いま直ちに(0〜24時間)

    • 最新のEPMMセキュリティ更新を適用します。公開インターネットに面している場合は適用前後でメンテナンスウィンドウを確保し、WAFやIP制限で一時的に露出を最小化します。
    • 侵害前提の健全性チェックを同時実行します。新規/不審な管理者アカウント、直近のポリシー変更、アプリ配布設定の改変、証明書やAPIキーのダウンロード操作、EPMMサーバプロセスからの外向き通信の増加などを優先的に確認します。
    • ログとアーティファクトの保全を開始します。Webアクセスログ、アプリケーションログ、システム監査ログ、構成履歴、バックアップを改ざん不能なストレージに退避します。
    • CISAのKEV指定がある場合は、期限(報道では短期)に間に合う是正計画を経営に即報告し、優先度を確保します。

  • 72時間以内

    • 包括的なコンプロマイズ・アセスメントを実施します。RCE悪用痕跡(不審なHTTPリクエスト、未知のJSP/スクリプト設置、サービスアカウントによるOSコマンド実行)、横展開の痕跡(AD/IdP/APIへのアクセス異常)を相関分析します。
    • 機密情報のローテーション計画に着手します。EPMMの管理者パスワード、統合先(LDAP/IdP/PKI/SIEM/チケット)の資格情報、APNs/FCMのプッシュ証明書、SCEPやMDM用シークレット、アプリ署名関連の鍵について、影響評価のうえ段階的に更新します。
    • EPMMの外部公開方針を見直します。原則はゼロトラスト/境界の強化で、接続元制限(IP allowlist)、mTLS、ベースラインWAFルールの強化、管理UIへの多要素認証必須化を徹底します。

  • 1〜2週間

    • EPMMを「Tier-0資産」に格上げし、ドメインコントローラやIdP同等の保護ドメインに収容します。管理者ワークステーションの分離、特権アクセス管理(PAM)とセッション録画、変更管理の4眼原則を導入します。
    • 監査と可観測性を強化します。構成変更・アプリ/プロファイル配布・証明書操作・管理者認証イベントをSIEMに集約し、行動ベースのアラート(例:短時間に複数の高リスク変更、深夜帯の配布ジョブ)を整備します。
    • DR/BCP演習を実施します。EPMMのクリーン再構築手順、バックアップからの復元、必要に応じたデバイス再登録(フェーズドロールアウト)の手順をテーブルトップで検証します。ユーザー告知テンプレートも用意します。

  • 現場の狩り(ハンティング)ヒント

    • EPMMアプリケーションの実行ユーザーからのシェル/スクリプト起動痕跡
    • Webアプリ配下ディレクトリへの新規/改変ファイル(特に拡張子.jsp/.php/.sh)
    • 直近で大量の構成エクスポートやDBダンプの痕跡、外向きの大量転送
    • 管理者の多要素認証バイパス/IP異常(新規ASNや地理的に乖離したアクセス)
    • ポリシーの突発的改変(VPN/プロキシ/証明書配布/アプリ配布に関するもの)

  • 注意点(運用)

    • 緊急パッチやホットフィックスは、メジャーアップグレード後に再適用が必要となる場合があります。適用状況の確認を手順化し、「当てたつもり」を防ぐことが重要です(一般的注意としての記載です)。
    • 端末側の正常性確認も忘れないでください。重要アプリの改変や未知プロファイルの配布、VPN設定の改変など、管理プレーン悪用の副作用を端末視点でも検証します。

最後に、この件は「高い緊急性」と「具体的行動に落とし込める対策可能性」の両方が際立つ事案です。管理プレーンのサイロを破って、IdP、ネットワーク、エンドポイント、IRが同じ机で状況を見られる体制を今日中につくることが、被害の連鎖を断ち切る最短距離だと考えます。編集部は、読者のみなさんが最短で正しい判断にたどり着けるよう、続報が入り次第アップデートします。

参考情報

背景情報

  • i Ivanti Endpoint Manager Mobile (EPMM)は、企業がモバイルデバイスを管理するためのソリューションです。今回の脆弱性は、コードインジェクションを通じて攻撃者が認証なしにリモートコードを実行できるもので、特にEPMMの特定のバージョンに影響を与えます。
  • i CVE-2026-1281とCVE-2026-1340は、CVSSスコアが9.8と非常に高く、攻撃者が成功した場合、EPMMデバイス上で任意のコードを実行できるため、企業のセキュリティに深刻な影響を及ぼす可能性があります。
Packet News 一覧へ戻る