2026年1月末、Ivanti Endpoint Manager Mobile(EPMM、旧MobileIron Core)における認証前コードインジェクション脆弱性(CVE-2026-1281、CVE-2026-1340、いずれもCVSS 9.8)が公表され、限定的ながら実際の悪用が確認された。CERT-EUは2026年1月30日に注意喚起を出し、影響を受けるEPMMの範囲と暫定対策(RPM hotfix)および恒久修正(12.8.0.0、2026年Q1予定)を整理している。
同時期、欧州委員会は2026年1月30日に職員モバイル端末を管理する中央基盤が攻撃を受け、職員の氏名と携帯番号が一部アクセスされた可能性があると公表し、9時間以内に封じ込めとクリーンアップが完了したとしている。 オランダ政府も2026年2月6日、Autoriteit Persoonsgegevens(AP、オランダデータ保護局)および司法評議会(Raad voor de rechtspraak)において、Ivanti EPMMの脆弱性悪用があった旨を議会(Tweede Kamer)へ報告した。
本稿は、Ivanti EPMMのゼロデイ連鎖が示した「MDMが国家レベルの攻撃面になる」構造的リスクを整理し、設計と運用の両面から防御原則を提示する。
攻撃連鎖の輪郭: 2026年1月末から2月初旬に起きたこと
一次情報として確度が高いのは、(1)ベンダのアドバイザリ、(2)政府・CSIRTの注意喚起、(3)被害組織の公式発表である。本件では、CERT-EUのアドバイザリ(2026-001)が、2026年1月29日のIvantiアドバイザリ公開と、2件の重大脆弱性(CVE-2026-1281 / CVE-2026-1340)を明確に紐付けた。
欧州委員会は、2026年1月30日に「職員モバイル端末を管理する中央基盤(central infrastructure managing mobile devices)」で痕跡を検知し、職員の氏名と携帯番号がアクセスされた可能性を公表している。封じ込めとシステムのクリーンアップを9時間以内に完了し、端末そのものの侵害は検出していないとしている。
オランダ側では、2026年2月6日付の政府文書が、APおよび司法評議会におけるIvanti EPMM脆弱性の悪用(misbruik van een kwetsbaarheid)を明示している。ここでは、EPMMがモバイル端末・アプリ・コンテンツの管理基盤であり、セキュリティ機能を含むことが説明されている。
これらは、個別組織の「端末が感染した/していない」という二元論ではなく、「管理基盤(control plane)が侵害されうる」ことを前提に、影響範囲(管理者権限、証明書、配布アプリ、構成プロファイル、連携ID基盤)を再定義すべき事例である。
脆弱性の性質: 認証前RCEがMDMの中枢を奪う
CERT-EUは、CVE-2026-1281およびCVE-2026-1340をいずれも「code injection」とし、未認証でのリモートコード実行に到達しうると整理している。 NVDの記載でも、両CVEは「Ivanti Endpoint Manager Mobileにおけるコードインジェクションにより、攻撃者が未認証RCEを達成できる」とされ、CNA(Ivanti)スコアとしてCVSS 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)が付与されている。
影響範囲としてCERT-EUは、EPMM 12.5.1.0以前、12.6.1.0以前、12.7.0.0以前を挙げる。対策としては暫定的なRPM hotfix(12.x.0または12.x.1)を適用し、バージョンアップ後は再適用が必要である点、恒久修正は12.8.0.0で2026年Q1に含まれる予定である点が示されている。
米国CISAのKnown Exploited Vulnerabilities(KEV)については、NVD側の注記から、CVE-2026-1281が2026年1月29日に追加され、連邦機関に対して2026年2月1日までの対応期限(Due Date)が設定されたことが読み取れる。 カナダのCyber Centreも、2026年1月29日にIvantiがアドバイザリを公開し、CISAが同日にCVE-2026-1281をKEVに追加した旨を注意喚起している。
ここで重要なのは、脆弱性の深刻度(CVSS)そのものではなく、EPMMが持つ機能上の特権である。MDMは「端末に命令できる」だけでなく、「端末が組織資産へ接続するための条件(証明書、VPN、プロキシ、SaaSアクセス制御、コンテナ化、アプリ配布)」を決定する中枢である。その中枢が認証前にRCEされることは、境界防御の前提を崩す。
なぜMDMは国家級アタックサーフェスになるのか
欧州委員会の事例は、端末侵害が確認されていなくても、管理基盤側の侵害で「人に紐づく連絡先」が露出しうることを示した。氏名と携帯番号は、標的型フィッシングやSMS(smishing)を成立させる最小構成のデータである。
さらに、MDM/EPMMは以下の理由で、国家レベルの攻撃者にとって費用対効果が高い。
- 集中性: 1つの管理基盤が多数端末のポリシーと配布物を束ねる(単一点障害)。
- 特権性: 「信頼された構成配布者」として、証明書・プロファイル・アプリに関する強い権限を持つ。
- 観測困難性: 端末側の挙動は可視化が難しく、管理基盤侵害が端末侵害へ波及しても検知が遅れる。
- 越境性: 政府・EU機関のように多国籍・多部局へまたがる運用では、例外設定や互換性要件が増え、攻撃面が広がる。
オランダ政府文書がEPMMを「モバイル端末、アプリ、コンテンツの管理(セキュリティを含む)」として説明しているのは、まさに攻撃者が狙う価値の源泉が機能そのものにあることを示唆する。
防御設計: 「MDMはTier0」であるという前提に戻す
設計原則は単純である。MDMは「端末管理ツール」ではなく、ID基盤や認証基盤に近いTier0資産として扱うべきである。具体的には、次のコントロールを推奨する。
- 管理面の分離: EPMM管理UI/APIへの到達性をインターネットから遮断し、社内ネットワークまたは専用管理ネットワーク(VPN前提)に限定する。
- 出口を絞る: MDMサーバの外向き通信を最小化し、必要な宛先(OSベンダ通知・証明書・アップデート等)を許可リスト化する。
- 秘密情報の輪番: 管理者資格情報、APIトークン、連携IDのクレデンシャル、証明書関連の秘密(SCEP/PKI連携など)をインシデント時に一括でローテーションできる手順を用意する。
- ログの外部保全: MDM基盤の監査ログ・APIログ・システムログを外部SIEMへ転送し、MDM側の改ざん耐性を確保する。
- アップグレード運用の罠を潰す: CERT-EUが指摘する通り、暫定RPMはアップグレードで失われ再適用が必要になり得る。バージョンアップ手順書に「hotfix再適用」を明記し、差分検証を自動化する。
これらは「パッチを当てる」より上位の設計問題である。認証前RCEは再発し得る。したがって、将来のゼロデイを前提に、到達性と特権の半径を縮めることが本質的な対策である。
運用チェックリスト: 侵害前提での封じ込めと復旧
本件のように「限定的に悪用された」と公表されている局面では、被害が見えてから動くのでは遅い。CERT-EUはフォレンジック証拠の確保と、ベンダのホットフィックス適用を推奨している。 実務としては、次の順序で意思決定するとよい。
- 露出確認: 管理UI/APIがインターネット到達可能だった期間の特定(ASM、FWログ、CDN/WAFログ)。
- 封じ込め: MDM管理面の遮断(VPN限定化)、疑わしいセッションの切断、管理者認証情報の強制更新。
- 修正: 暫定RPM適用、恒久版(12.8.0.0)への移行計画策定。
- 影響評価: 端末への配布履歴(プロファイル/アプリ/証明書)を基準に「何が命令され得たか」を棚卸しし、必要に応じて再登録(re-enrollment)を実施する。
- 二次被害対策: 氏名・電話番号などの露出が疑われる場合、なりすまし耐性(音声・SMS・メール経由のプロセス)を強化し、特権操作の二要素化と手続きの再設計を行う。
欧州委員会が示した「9時間で封じ込め・クリーンアップ」は、発見から復旧までの時間(MTTR)短縮の重要性を示す。 ただし、MDMは「復旧した」だけでは不十分である。復旧後に、配布物と認証連携の完全性(integrity)を担保する追加作業が必要になる。
FAQ
CVE-2026-1281とCVE-2026-1340は何が違うのか
いずれもIvanti EPMMにおけるコードインジェクションであり、未認証のリモートコード実行につながり得る点が共通である。CERT-EUは両者を並列に扱い、影響バージョンと対策(RPM hotfix、恒久修正12.8.0.0)をまとめて提示している。
なぜ「MDMの侵害」が端末侵害より深刻になり得るのか
MDMは端末に対する構成配布とアクセス条件を定義する中枢であり、管理基盤が奪取されると、端末群へ広く影響を及ぼし得るためである。欧州委員会の事例では端末侵害は検出されていないが、氏名と携帯番号がアクセスされた可能性が示されており、二次的な標的型攻撃が成立し得る。
CVE-2026-1281がKEVに入った意味は何か
NVDの注記によれば、CVE-2026-1281はCISAのKnown Exploited Vulnerabilities Catalogに含まれ、追加日が2026年1月29日、対応期限が2026年2月1日とされている。これは「実際に悪用された」ことを前提に、期限付きで是正を求める枠組みである。
パッチを当てた後も「侵害前提」で対応すべきか
限定的ながら悪用が確認されている以上、インターネット露出があった環境では、パッチ適用の有無だけで安全と言い切れない。CERT-EUが推奨するように、フォレンジック証拠の保全と痕跡調査を行い、必要に応じて資格情報・連携秘密情報のローテーションや端末再登録を検討すべきである。
影響を受けるのはEPMMだけか
CERT-EUの注意喚起はIvanti EPMMを対象にしている。 ベンダが他製品への影響なしと述べたとする二次情報もあるが、製品構成と導入形態により攻撃面は変わるため、各組織は自組織の構成管理台帳に基づき影響評価を行うべきである。
参考文献
- Security Advisory 2026-001: Critical vulnerabilities in Ivanti EPMM — CERT-EU, 2026-01-30
- CVE-2026-1281 — NVD (NIST), 2026-01-30 (published)
- CVE-2026-1340 — NVD (NIST), 2026-01-29 (published)
- Ivanti security advisory (AV26-068) – Update 1 — Canadian Centre for Cyber Security, 2026-01-29 (updated 2026-01-30)
- Kamerbrief over incident bij de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak — Rijksoverheid.nl, 2026-02-06
- EU Discloses January Cyberattack That Exposed Some Staff Data — Insurance Journal (Bloomberg), 2026-02-09
- European Commission confirms hackers breached mobile management platform — ITPro, 2026-02-10
