VPNアプライアンスが“踏み台”になったとき——Ivanti/Pulse Secureを起点に広がる静かなサプライチェーン侵害

今日の深掘りポイント

• セキュリティ製品そのものが「最初の侵入口」かつ「横展開の起点」になり得るという構造的リスクが露呈しました。
• 2021年のPulse Secure（現Ivanti）侵害と、2024年のCISA緊急指令に連なる連続性は、製品アーキテクチャと運用上の“見えにくさ”が攻撃者に優位を与えることを示唆します。
• VPN機器のログは信頼境界の外にある可能性があり、フォレンジックは「ネットワーク観測」と組み合わせて二重化する必要があります。
• 影響の射程は“装置の外側”に及びます。SAML署名鍵・IdP設定・機器内に保持された認証情報が奪取されると、クラウドまで波及します。
• ガバナンス面では、コスト最適化とセキュリティ品質のトレードオフをどう監督するかが、取締役会とCISOの共同課題になります。

はじめに

今日取り上げるのは、Ivanti傘下のPulse Secure VPN製品を足掛かりに、国家系とみられるアクターが複数組織へ静かに横展開したとされる一件です。報道では、脆弱性を突いたバックドア設置を起点に、少なくとも119組織へ波及したと伝えられています。VPNは信頼を通す装置ですが、裏を返せば「通せんぼできない特権チャネル」でもあります。ここが崩れると、被害は境界を軽々と越えます。今回は、事実の輪郭を押さえつつ、現場が即日適用できる視点に落とし込みます。

参考までに、2021年当時のPulse Secure脆弱性悪用についてはCISAが詳細なアドバイザリを公開しており、2024年にはIvanti製品に関する緊急指令が米連邦機関に発出されています。これらは「個別の事故」ではなく、「繰り返されるパターン」であることを示します。

• CISA アドバイザリ（2021年、Pulse Connect Secureの脆弱性悪用）: AA21-110A
• CISA 緊急指令（2024年、Ivanti Connect Secure/Policy Secureの対策）: Emergency Directive 24-01
• 報道（2026年、今回の119組織への波及に関する詳細）: TechCrunch

深掘り詳細

事実整理（一次情報と報道で確認できる輪郭）

• CISAは2021年、Pulse Connect Secure（Ivanti傘下）の複数脆弱性が国家系アクターに悪用され、デバイス上への不正コード設置や認証情報窃取が行われていると警告しています。被害は政府・防衛・重要インフラを含む幅広い組織に及ぶものとされました［CISA AA21-110A］。
• 2024年、Ivanti Connect Secure/Policy Secureに関し、CISAは連邦機関に即時の隔離・再構築など厳格な対処を求める緊急指令（ED 24-01）を発出しています。単なる「パッチ適用」ではなく「再イメージ化」を強調した点は、機器の信頼性そのものが揺らいだ状況を物語ります［CISA ED 24-01］。
• 報道によれば、2021年のPulse Secure脆弱性を突いたバックドア設置を起点に、少なくとも119組織に侵害が拡大しました。Mandiantはこの侵害を把握し、Ivanti側に警告を行っていたとされています。また、プライベートエクイティによる買収後にセキュリティ品質が低下したとの証言・指摘も報じられています［TechCrunch］。

ここで重要なのは、「脆弱性→単発侵入」の線形ではなく、「装置常駐→資格情報・構成奪取→多拠点横展開」という非線形な被害拡大の構図が、2021年から2024年をまたいで観測されたことです。

インサイト（装置の“信頼回廊”が崩れたときの現実）

• VPNは“信頼回廊”です。いったん機器上で永続化されると、ネットワーク境界内の認証情報、SAML/IdP設定、証明書、RADIUS/LDAPシークレットなど「外の世界を開く鍵束」へアクセスできる余地が生まれます。攻撃はオンプレの壁を越え、クラウドとSaaSの平野へ雪崩込みます。
• セキュリティアプライアンスは、更新頻度や観測性の面で一般サーバよりも“盲点”が生じやすいです。ログの保存先・改ざん耐性・ルートファイルシステムへの書き込み制御など、プロダクト・セキュリティの設計が運用に直結します。CISAが再イメージ化を強く求めた背景には、この「装置上の証跡が信用できない」現実が透けて見えます。
• ガバナンス上の論点として、コスト最適化の名の下でセキュリティ投資や熟練人材が削がれると、脆弱性対応のMTTRが伸び、リリース・サイクルやQAの品質が落ち、結果的に「負債の利息」が指数関数的に膨らみます。セキュリティは費用項目でなく、存続コストの一部です。

現場目線では、これは「ゼロデイ対策」だけの話ではないです。構成・鍵・トークン・ログという“装置の内臓”すべてを、失陥前提で扱える体制に寄せることが勝負どころです。

脅威シナリオと影響

以下は、公開情報からの事実を土台に、一般化した脅威仮説をMITRE ATT&CKで整理したものです（仮説であり、個別事案の特定技術を断定するものではありません）。

• 初期侵入
  • Exploit Public-Facing Application（T1190）: VPNの未修正脆弱性を悪用してデバイスへ進入します。
• 永続化・防御回避
  • Server Software Component: Web Shell（T1505.003）やスクリプト配置（T1059）で装置上に常駐します。
  • Impair Defenses（T1562）、Indicator Removal on Host（T1070）でログ・痕跡を抑えます。
• 資格情報・構成の奪取
  • Credentials in Files（T1552.001）: デバイス内の設定ファイル、RADIUS/LDAPシークレット、SAML署名鍵、APIトークン等にアクセスします。
  • OS Credential Dumping（T1003）（環境により）や各種トークン収集（T1528: Steal Application Access Token）を試みます。
• 横展開
  • Valid Accounts（T1078）で正規のVPN/ADアカウントを用いて社内へ入ります。
  • Remote Services（T1021: RDP/SMB/SSH 等）を使ってサーバ群へ拡散します。
• 指揮統制・窃取
  • Application Layer Protocol（T1071）やExfiltration Over C2 Channel（T1041）で外部へ持ち出します。

想定インパクト（技術・業務）

• 技術面: VPN機器の整合性喪失、SAML/IdPの信頼連鎖崩壊、認証情報の広域漏えい、ログの証拠能力低下が併発します。装置を「証明可能にクリーン」へ戻すまで、暫定遮断と代替経路の確保が必要になります。
• 業務面: 一斉資格情報ローテーションとSAML証明書の再配布は業務停止を伴いやすく、BCP/コミュニケーションの練度が問われます。取引先・委託先の接続再開に時間を要し、サプライチェーン全体へ影響が波及します。
• 規制・信頼: 観測不能期間が長いほど、規制上の報告・説明に必要な確度を担保しにくくなります。セキュリティ製品に対する市場の信頼も毀損しやすいです。

総じて、このテーマは「いま、現場が動いて意味がある」性質が強いです。発生確度・波及性が高く、対処の手戻りコストも大きいため、対応は段階的ではなく“面で”一気に寄せ切る判断が要ります。

セキュリティ担当者のアクション

優先度順に、実務へ直結するチェックリストを示します。装置ログの完全性が保証できない前提で、ネットワーク観測・アイデンティティ監査と組み合わせることを推奨します。

短期（0〜72時間）

• 露出資産の即時棚卸しと遮断基準
  • Ivanti/Pulse Secure系のVPN/ポータルの全インスタンスを特定し、CISA ED 24-01の方針（隔離・再イメージ化・アップグレード手順）に準拠した是正計画を即日策定します［一次情報: CISA ED 24-01］。
  • インターネット境界の“似た構造”の機器（SSL-VPN、WAF、EPP管理コンソール、リモート管理ゲートウェイ）も横並びで健全性を点検します。
• 資格情報・鍵・セッションの強制失効
  • 当該VPNで用いる全アカウントのパスワードリセット、MFAシークレット再登録、APIトークンの失効を実施します。
  • SAML/OIDCの署名鍵・信頼関係（メタデータ、SP/IdP設定）を再生成し、フェデレーション先へ周知・切替を行います。旧鍵の無効化を忘れないようにします。
  • 永続セッション・クッキー・リフレッシュトークンの失効を強制します。
• ハンティング（装置とネットワークの二面作戦）
  • CISA AA21-110Aに掲載のIOCや手口を参照しつつ、VPN機器上の不審プロセス、改変ファイル、スケジュール実行、異常な管理UIアクセスを確認します［一次情報: CISA AA21-110A］。
  • 機器ログの信頼性が低い前提で、NDR/フローログ/プロキシログから、VPN端末から内向きの管理プロトコル（RDP/SMB/WinRM/SSH）への“新規/過剰/時間外”アクセスを相関します。
• 外形監視の強化
  • ASN・国別のアクセス制御、クライアント証明書やデバイスポスチャによる接続制限を即時導入します。

中期（1〜4週間）

• 再イメージ化＋バージョン基準線の確立
  • ベンダー手順に従いクリーンビルドからの再展開を実施し、「設定のインポート」は慎重に範囲を絞ります（資格情報・鍵類は新規生成が原則です）。
  • テナント隔離・管理プレーンの分離、ログのWORM保管（外部集中管理）を義務化します。
• アイデンティティの再検証
  • 異常なMFAバイパス、Impossible Travel、未知デバイスからの特権サインインを全社で遡及点検します。
  • 特権経路（ドメイン管理者、CI/CD、バックアップ、RMM）に対する境界強化を行います。
• インシデント・コミュニケーション
  • 取引先・委託先への接続再開条件を標準化し、第三者検証（アテステーション）で相互確認します。

長期（1〜3四半期）

• アーキテクチャの転地
  • VPN依存を減らし、ZTNA/IDベースのアクセスブローカ＋デバイスポスチャ＋コンテキストMFAへ寄せます。
  • SASE/SSEでEgress制御・CASB・DLPを一体化し、クラウド到達経路での観測性を上げます。
• 製品選定とベンダー・ガバナンス
  • 重要セキュリティ装置には、Secure/Measured Boot、署名済みアップデート、最小OS、不可変イメージ、外部WORMログ出力、強制RBAC、鍵保護（TPM/HSM）を調達要件として明記します。
  • 脆弱性対応SLA（公開から修正提供・実装までの上限日数）、ペネトレーションテストとSBOM開示、インシデント発生時の連絡・緊急パッチ提供体制を契約に織り込みます。取締役会監督の下で、コスト削減とセキュリティ品質のKPIを両建て管理します。
• 演習と可観測性
  • 「VPN機器が完全に信頼できない」想定のレッドチーム／Purple Team演習を繰り返し、検知・封じ込め・復旧のMTTD/MTTRを縮めます。
  • デバイス内ログに依存しない検知（フロー、DNS、プロキシ、エンドポイント、IdPログ）を優先投資します。

最後に、今回のスコープは「緊急性と実行可能性が高い」一方で、影響の評価は難所が多いです。ですから、証拠の確度に応じた意思決定（仮説で遮断し、確証で再開）を、経営と現場が合意の上で高速に回すことが肝要です。セキュリティ製品は魔法ではないですが、正しく作られ、正しく運ばれ、正しく疑われる限り、組織の背骨であり続けます。いま必要なのは、その“正しさ”を取り戻すための一歩を、ためらわず踏み出すことです。

参考情報

• CISA: Exploitation of Pulse Connect Secure Vulnerabilities (AA21-110A)
  https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-110a
• CISA: Emergency Directive 24-01 — Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities
  https://www.cisa.gov/news-events/directives/emergency-directive-24-01
• TechCrunch: VPN flaws allowed Chinese hackers to compromise dozens of Ivanti customers, says report
  https://techcrunch.com/2026/02/23/vpn-flaws-allowed-chinese-hackers-to-compromise-dozens-of-ivanti-customers-says-report/