2026年1月29日に公表されたIvanti Endpoint Manager Mobile(EPMM)のCVE-2026-1281は、未認証で到達可能なコードインジェクションであり、NVD上のCNA評価でCVSS 9.8(Critical)とされる脆弱性である。さらに同日、CISAのKnown Exploited Vulnerabilities(KEV)に追加され、米連邦機関向けの対応期限は2026年2月1日に設定された。公開から実際の攻撃観測までの時間差が極めて短い事案である。

GreyNoiseが2026年2月10日に公開した観測では、2月1日から2月9日までの9日間で417件のEPMM悪用セッションが記録され、その83%(346件)が単一IPに集中していた。ここで重要なのは「ゼロデイの有無」ではなく、MDM/EMM基盤が企業侵入の初期アクセス市場に組み込まれ、検証型スキャンから段階的侵入へ接続される運用が確立しつつある点である。本稿はこの連鎖を技術的・運用的に分解し、防御側の限界と移行先アーキテクチャを示す。

脆弱性の技術輪郭: なぜCVE-2026-1281は「未認証RCE」になったのか

NVDの記述では、CVE-2026-1281はIvanti EPMMにおけるコードインジェクションであり、攻撃者は認証なしでリモートコード実行を達成できる。ベクトルはCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hで、認証不要(PR:N)かつユーザー操作不要(UI:N)である点が、インターネット露出環境にとって臨界的リスクとなる。

Ivantiは2026年1月29日のセキュリティ更新で、影響範囲がオンプレミス版EPMMに限定されること、Neurons for MDM(クラウド版)や他製品は対象外であることを明示した。他方でCERT-EUは、CVE-2026-1281とCVE-2026-1340をともにCVSS 9.8の重大欠陥として整理し、RPMベースのホットフィックス適用と、恒久修正(12.8.0.0)までの運用継続リスク管理を推奨している。

防御実務での論点は、脆弱性名の暗記ではなく「未認証到達可能な管理プレーン」にある。MDM/EMMは端末ポリシー、証明書、配布物、認証連携を一元制御するため、侵害時の横展開ポテンシャルが一般的な業務アプリより高い。したがって、同じCVSS 9.8でも、資産の役割に応じた優先順位補正が必要である。

417セッションの内訳: 偵察ではなく「検証付き侵入準備」が主流である

GreyNoiseの観測データでは、2026年2月1日から2月9日までに417セッション、8つの送信元IPが確認されている。時系列では2月8日に269セッションへ急増し、それ以前の低〜中強度トラフィックから一気に増幅した。これは公開直後に無差別砲撃される典型パターンというより、検証が進んだ後にスケールされた可能性を示唆する。

さらに同レポートは、417セッション中354件(85%)がOAST(Out-of-Band Application Security Testing)型DNSコールバックを利用した「ブラインドRCE検証」だったと述べる。これは即時破壊より、脆弱性の成否確認と標的リスト化を優先する運用であり、初期アクセス・ブローカー型の分業モデルと整合的である。

83%が単一IPに集中した事実も重要である。多数IPの分散より、少数高効率インフラで複数CVEを並行運用するほうが、攻撃者側の運用コストと検知回避を両立しやすい。つまり防御側は「IOCを増やす」よりも、「管理系公開面への到達制御」「異常コールバック通信の封じ込み」「短時間での証跡保全」を優先すべき局面にある。

MDM/EMMが主要侵入ベクトルになる構造: 境界防御の限界

Ivantiの今回の事案は、MDM/EMMが単なる端末管理ツールではなく、ID・証明書・アプリ配布・構成管理を束ねる制御プレーンであることを再確認させた。攻撃者にとっては、ここを奪取すれば端末群への間接支配を得られるため、投資対効果が高い。

CISAが2025年9月に公開したEPMMマルウェア分析報告でも、EPMM侵害を通じた継続的な任意コード実行手口が示され、MDMシステムを高価値資産として扱う必要性が強調されている。脆弱性の年度や番号が変わっても、標的価値そのものは不変である。今回の2026年事案は、その延長線上で「管理プレーンを先に落とす」戦術が継続していると読むのが妥当である。

結果として、公開WAFや脅威インテリジェンスだけに依存した境界防御は限界を露呈する。公開IOCに含まれない主要送信元が存在したというGreyNoiseの指摘は、静的リスト依存の運用が現場で破綻しうることを実証した。

防御限界を越える設計: ゼロトラスト前提のモバイル管理アーキテクチャ

実装優先度は明確である。第一に、EPMMなど管理プレーンのインターネット直接公開を原則禁止し、管理アクセスを専用経路(ZTNA/踏み台/相互TLS)に限定すること。第二に、パッチ適用だけでなく、証跡保全と侵害前提の追跡(ログ、プロセス、不審JSP・Webシェル痕跡、外向きDNS/OAST通信)を同時実施すること。第三に、MDMで発行・配布される認証情報のローテーション計画を平時から定義することである。

中期的には、オンプレ一極のモバイル管理基盤から、権限分離された運用モデルへ移行する必要がある。具体的には、ポリシー管理、証明書ライフサイクル、アプリ配布、監査分析を同一面に集中させず、侵害時の爆発半径を小さく設計する。Ivantiが今回明示したように、同社クラウドMDMは本件の影響外であった。これは「クラウドが常に安全」という意味ではないが、露出面・パッチ供給速度・運用統制の観点で再評価余地があることを示す。

要するに、CVE-2026-1281の教訓は単発の脆弱性対応では終わらない。2026年2月1日〜9日の417セッションは、MDM/EMMが既に主要侵入ベクトルとして監視・売買・再利用される市場に組み込まれた事実を示した。防御側は「修正する」だけでなく、「侵害されても統制が崩壊しない管理アーキテクチャ」に設計重心を移すべき段階である。

FAQ

CVE-2026-1281はCVE-2026-1340と何が違うのか?

どちらもIvanti EPMMの重大コードインジェクションでCVSS 9.8である。実務上は個別の差分より、同時悪用されうる前提で一体的に封じることが重要である。

417セッションという数字は被害件数を意味するのか?

意味しない。GreyNoiseの観測セッション数はインターネット上での悪用試行の規模を示す指標であり、各組織の実被害件数とは一致しない。

公開IOCを全部ブロックすれば十分か?

十分ではない。今回の観測では主要送信元が広く共有されたIOCに含まれないケースが示されたため、到達制御と挙動検知を組み合わせる必要がある。

オンプレEPMM利用組織が直ちに取るべき行動は何か?

ベンダー手順での更新・緩和を即時実施し、同時に侵害痕跡の調査を行うこと。加えて、管理系公開面の遮断と認証情報ローテーション準備を並行して進めるべきである。

参考文献