Ivanti EPMMを襲った未曽有の危機:2つのゼロデイ脆弱性
2026年1月29日、モバイルデバイス管理ソリューションであるIvanti Endpoint Manager Mobile(EPMM)において、極めて重大な2つのゼロデイ脆弱性、すなわちCVE-2026-1281とCVE-2026-1340が公表されました。ベンダーであるIvantiは、この公表に先立ち、既にこれらの脆弱性が実環境で悪用されていたことを明らかにしています。この事態の深刻さは、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)がCVE-2026-1281を「既知の悪用された脆弱性(KEV)カタログ」に迅速に追加し、連邦機関に対してわずか3日後の2月1日までに脆弱性を修正するか、影響を受けるデバイスをネットワークから切断するよう指示したことからも明らかです。
これらの脆弱性は、いずれも共通脆弱性識別子(CVE)において最高レベルに近いCVSSv3スコア9.8の「クリティカル」と評価されており、共通脆弱性タイプ分類(CWE)では「コード生成の不適切な制御(CWE-94)」に分類されます。これは、認証されていないリモートの攻撃者が、細工されたHTTPリクエストを通じて任意のコードを実行できるという、極めて危険な性質を持つものです。特に、CVE-2026-1281は実環境での悪用が確認されていますが、CVE-2026-1340についても同様に悪用されたのか、あるいは独立して発見されたのかは現時点では不明確とされています。
Ivanti EPMMは、企業が従業員のモバイルデバイスを管理し、セキュリティポリシーを適用するための基盤となるソリューションです。そのため、このシステムが侵害された場合の影響は計り知れません。攻撃者は、EPMMサーバー上で特権的な地位を獲得するだけでなく、管理対象のモバイルデバイスユーザーに関する個人特定情報(PII)にアクセスする可能性も指摘されています。これには、氏名、メールアドレス、電話番号、GPS情報、その他の機密性の高い一意の識別情報などが含まれる恐れがあります。
過去にもIvanti EPMMは、2023年のCVE-2023-35078や、2025年のCVE-2025-4427とCVE-2025-4428の複合的なエクスプロイトチェーンなど、繰り返しゼロデイ脆弱性の標的となってきました。この製品が持つ企業インフラにおける重要性と、過去の攻撃履歴を鑑みると、今回のゼロデイ攻撃は、企業にとって緊急性の高いセキュリティ脅威として認識されるべきです。セキュリティ研究者コミュニティでは、既にリモートコード実行のための公開された概念実証(PoC)エクスプロイトが2026年1月30日時点で利用可能となっており、攻撃の敷居がさらに下がっている状況です。
攻撃者の手口:認証不要のリモートコード実行
今回のIvanti EPMMに対する攻撃は、認証を必要としないリモートコード実行(RCE)という、最も深刻な形態の一つとして分類されます。攻撃者は、特別に細工されたHTTP GETリクエストをEPMMサーバーの特定のサービスエンドポイントに送信することで、標的システム上で任意のBashコマンドを実行することが可能となります。具体的には、「In-House Application Distribution」機能に関連する`/mifs/c/appstore/fob/`、または「Android File Transfer Configuration」機能に関連する`/mifs/c/aftstore/fob/`といったエンドポイントが悪用の対象となります。
この攻撃手法の恐ろしさは、攻撃者が認証なしに、ネットワーク経由で直接システムに侵入し、任意のコードを実行できる点にあります。これにより、EPMMアプライアンスの完全な掌握が可能となり、攻撃者はシステム内部で自由に活動できるようになります。例えば、悪意のあるペイロードの展開、バックドアの設置、システム設定の改ざんなど、あらゆる種類の不正行為が実行され得るのです。
EPMMが企業環境において果たす役割を考慮すると、この脆弱性の悪用は単なるシステム侵害に留まりません。EPMMは、企業のモバイルデバイス、認証情報、VPNアクセス、そして様々なエンタープライズアプリケーションを一元的に管理するハブとしての機能を持っています。そのため、EPMMが侵害されると、その影響はアイデンティティシステムや内部インフラ全体に連鎖的に波及し、広範なダウンストリームインパクトを引き起こす可能性があります。
Horizon3.aiの分析によれば、これらの脆弱性はIvanti Endpoint Manager Mobile内のHTTPリクエストの不適切な処理と検証に起因しています。攻撃者は、この検証の不備を突いて、悪意のあるコマンドをHTTPリクエストに埋め込むことで、システムにそれを実行させてしまうのです。このような技術的な詳細が明らかになるにつれて、企業は自社のEPMMインスタンスがこの種の攻撃に対してどれほど脆弱であるかを緊急に評価する必要に迫られています。
CISAが発した緊急警告:連邦機関への3日間という猶予
今回のIvanti EPMMのゼロデイ脆弱性に関する最も注目すべき点は、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)が発した異例の緊急警告です。CISAは、CVE-2026-1281を「既知の悪用された脆弱性(KEV)カタログ」に追加しただけでなく、連邦政府機関に対して、2026年2月1日というわずか3日間の猶予期間内に、影響を受けるEPMMデバイスを修正するか、ネットワークから完全に削除するよう義務付けました。これは、この脆弱性がもたらす国家安全保障上のリスクが極めて高いとCISAが判断したことを明確に示しています。
CISAのKEVカタログへの追加は、その脆弱性が実際に攻撃者によって悪用されていることを意味し、すべての組織にとって即座に対応すべき最優先事項であることを示唆します。特に、連邦政府機関に対する3日間の期限設定は、通常のパッチ適用サイクルをはるかに超える緊急性を要求するものであり、この脅威がどれほど差し迫ったものであるかを物語っています。このような迅速な対応要請は、過去の重大なゼロデイ攻撃、例えばSolarWindsのサプライチェーン攻撃やLog4Shellの脆弱性など、広範な影響を及ぼしたインシデントにおいても見られました。
Ivanti EPMMは、政府機関や大企業において、機密性の高いモバイルデバイス管理に利用されることが多いため、その侵害は国家レベルの機密情報漏洩や重要インフラへのアクセスを許す可能性を秘めています。攻撃者がEPMMサーバーを掌握すれば、管理対象のモバイルデバイスから個人情報(PII)や企業データが窃取されるだけでなく、EPMMサーバー自体がネットワーク内部への足がかりとなり、さらなる横展開や特権昇格の起点となる恐れがあります。
このCISAの警告は、連邦機関だけでなく、Ivanti EPMMを利用するすべての民間企業や組織に対しても、同様の緊急性をもって対応するよう促すものです。攻撃者が既に脆弱性を悪用している状況下では、パッチ適用を遅らせることは、組織全体のセキュリティ体制を危険に晒す行為に他なりません。迅速な情報共有と対応が、被害の拡大を防ぐ上で不可欠であると、セキュリティ専門家は口を揃えて指摘しています。
企業データと個人情報の危機:EPMM侵害の広範な影響
Ivanti EPMMの侵害がもたらす影響は、単一のサーバーの乗っ取りに留まらず、企業全体のデータセキュリティと個人情報の保護に深刻な危機をもたらします。EPMMは、従業員のモバイルデバイスを管理するだけでなく、それらのデバイスがアクセスする企業アプリケーション、VPN接続、さらには認証情報までをも制御する役割を担っています。このため、EPMMサーバーが攻撃者に掌握された場合、その影響は組織のアイデンティティシステムや内部インフラ全体に連鎖的に波及する可能性があります。
具体的には、攻撃者はEPMMサーバーを通じて、管理対象のモバイルデバイスユーザーに関する個人特定情報(PII)にアクセスできる可能性があります。これには、氏名、メールアドレス、電話番号、GPS情報、さらにはデバイス固有の識別情報といった、極めて機密性の高いデータが含まれます。このような情報が流出すれば、ユーザーのプライバシー侵害はもちろんのこと、フィッシング攻撃やソーシャルエンジニアリングの標的となるリスクが高まります。
さらに、EPMMサーバーが持つ特権的なアクセス権限は、攻撃者にとってネットワーク内部での横展開を容易にする足がかりとなります。一度EPMMサーバーに侵入した攻撃者は、そこを拠点として、企業の他のシステムやデータリポジトリへのアクセスを試みることが可能です。これにより、企業秘密、顧客情報、財務データなど、組織にとって最も価値のある情報が窃取される恐れが生じます。
Horizon3.aiは、EPMMが企業デバイス、認証情報、VPNアクセス、エンタープライズアプリケーションを管理しているため、その侵害がアイデンティティシステムや内部インフラ全体に「連鎖的なダウンストリームインパクト」をもたらす可能性があると警告しています。これは、単なるデータ漏洩以上の、組織全体の運用停止や信頼失墜につながる壊滅的な結果を招きかねないことを示唆しています。企業は、この脆弱性がもたらす潜在的な影響の広範さを認識し、単なるパッチ適用だけでなく、侵害の有無を徹底的に調査する必要があります。
脅威ハンティングと侵害の痕跡:組織が取るべき緊急措置
Ivanti EPMMのゼロデイ脆弱性が既に実環境で悪用されているという事実を踏まえ、組織は単にパッチを適用するだけでなく、自社のシステムが既に侵害されていないかを確認するための緊急措置を講じる必要があります。Ivantiは、潜在的な悪用の証拠を特定するための脅威ハンティングガイダンスを提供しており、特にHTTPデーモンのログファイルを調査することが推奨されています。
具体的には、以下の正規表現を使用してログファイルを検索することで、CVE-2026-1281およびCVE-2026-1340の悪用を示す可能性のあるHTTPリクエストを検出できます。`^(?!127\.0\.0\.1:\d+ .*$).*?/mifs/c/(aft|app)store/fob/.*?404` この正規表現は、特定の悪用エンドポイントへのアクセス試行を捕捉することを目的としています。ログにこのようなパターンが見つかった場合、それは攻撃者が脆弱性を悪用しようとした、あるいは成功した可能性のある強力な指標となります。
Horizon3.aiもまた、組織が監視すべき侵害の痕跡(IoC)を複数挙げています。これには、EPMMサービスを標的とした不審なまたは不正な形式のHTTPリクエスト、EPMMホスト上での予期せぬプロセス実行、EPMMコンソール内での不正な設定変更、そしてEPMMサーバーから発信される異常なアウトバウンドネットワーク接続が含まれます。これらのIoCは、攻撃者がシステムに侵入し、活動している可能性を示唆する重要な手がかりとなります。
これらの脅威ハンティングの指針とIoCは、セキュリティチームが侵害の兆候を早期に発見し、対応するための不可欠なツールです。確認された悪用を考慮すると、露出しているシステムは直ちに侵害の有無について徹底的にレビューされるべきです。もし侵害が確認された場合、迅速な封じ込め、根絶、復旧のプロセスを開始し、被害の拡大を最小限に抑えることが最優先事項となります。
緊急パッチと恒久的な対策:Q1 2026の完全修正を待つ
今回のIvanti EPMMのゼロデイ脆弱性に対処するため、Ivantiは緊急のパッチを提供しています。顧客は、通常のパッチ適用サイクルとは別に、緊急ベースでこれらの修正を適用することが強く推奨されています。影響を受けるIvanti EPMMのバージョンに応じて、適切なRPMアップデートを適用する必要があります。
具体的には、バージョン12.7.0.0以下、12.6.0.0以下、12.5.0.0以下のEPMMにはRPM 12.x.0.xパッチが提供されています。また、バージョン12.6.1.0以下、12.5.1.0以下のEPMMにはRPM 12.x.1.xパッチが提供されており、顧客は自身のインストールされているバージョンに基づいて、いずれか一方のRPMを適用する必要があります。これらのパッチは脆弱性固有ではなく、バージョン固有であるため、適切なパッチを選択することが重要です。
しかし、これらのRPMパッチはあくまで緊急対応であり、恒久的な修正ではありません。Horizon3.aiの報告によると、完全な修正は、2026年第1四半期にリリースが予定されている製品バージョン12.8.0.0で提供される見込みです。このため、組織は一時的なパッチ適用後も、今後の完全修正版へのアップグレード計画を立て、継続的にセキュリティ体制を強化していく必要があります。
Rapid7やHorizon3.aiのようなセキュリティ企業は、顧客がこれらの脆弱性の影響を受けているかどうかを安全に検証するためのツールを提供しています。例えば、Horizon3.aiのNodeZero®プラットフォームは、新たにリリースされた「Rapid Response」テストを通じて、インターネットに公開されているEPMMインスタンスや内部のEPMMインスタンスがRCEの悪用に対して脆弱であるかどうかを評価し、パッチ適用後の緩和策の有効性を確認する機能を提供しています。このような第三者による検証ツールを活用することで、組織は自社のセキュリティ対策が適切に機能していることを客観的に確認し、攻撃のリスクを最小限に抑えることができるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Critical Ivanti Endpoint Manager Mobile (EPMM) zero-day exploited in the wild (CVE-2026-1281 & CVE-2026-1340) - https://www.rapid7.com/blog/post/etr-critical-ivanti-endpoint-manager-mobile-epmm-zero-day-exploited-in-the-wild-eitw-cve-2026-1281-1340/
- -Ivanti EPMM RCE Zero-Days (CVE-2026-1281, 1340) | Horizon3.ai - https://horizon3.ai/attack-research/vulnerabilities/cve-2026-1281-cve-2026-1340/