Ivanti Endpoint Manager Mobile(EPMM)の脆弱性に関連するサイバー攻撃の波が、各国の国家安全保障機関から世界的に緊急警告を引き起こしている。
組織のモバイル端末を管理し、スマートフォンやタブレットを制御してアプリ設定やセキュリティ規則を適用するために使われる製品であるEPMMの2つの重大な脆弱性により、ユーザー名やパスワードを必要とせずに、ハッカーがこれらの端末を掌握できる可能性がある。
Ivantiは1月下旬、CVE-2026-1281およびCVE-2026-1340として追跡されている2つの重大なコードインジェクション脆弱性を開示し、パッチとアドバイザリを公開した。顧客には、露出しているシステムを侵害されている可能性があるものとして扱い、悪用の兆候がないかログを確認するよう促された。
いずれの脆弱性も重大(Critical)と評価され、CVSS基本スコアは9.8で、最も深刻な種類のセキュリティ欠陥の一つに当たる。Ivantiは、脆弱性が未修正の間に「ごく限られた数の顧客」が攻撃を受けたことを把握していると述べた。
オランダのデータ保護当局および司法評議会は金曜日、同国議会に宛てた声明で、ハッキングを受けたことを確認した。これらのハッキングがいつ発生したのかは明らかではない。
同国の内務担当国務次官および司法・安全保障担当国務次官は、「氏名、業務用メールアドレス、電話番号」などの業務関連データが不正な人物に閲覧されたことを確認したが、侵害の全容はなお調査中だとしている。
同時に、標的となったサービスがIvanti EPMMであると明示はしなかったものの、欧州委員会も「モバイル端末を管理する中央インフラ」で、オランダの侵害に類似したサイバー攻撃を検知したことを確認した。
委員会のモバイル管理インフラに対する攻撃は、「一部職員の氏名および携帯電話番号へのアクセスにつながった可能性がある」と発表し、「迅速な対応により、9時間以内にインシデントは封じ込められ、システムはクリーンアップされた。モバイル端末の侵害は検知されなかった」と付け加えた。
米国のサイバーセキュリティ・インフラ安全保障庁(CISA)も、欠陥の一つをKnown Exploited Vulnerabilities Catalog(既知の悪用されている脆弱性カタログ)に追加し、実環境での悪用が確認されていることを示した。カナダおよびシンガポールの国家サイバー機関も、未修正環境に対して攻撃者がIvantiの不具合を武器化していることを確認する警告を相次いで出した。
英国では、NHS Digitalの国家サイバーセキュリティ運用センター(CSOC)が、医療ネットワークで同じ脆弱性に関連する活動が検知されたとして警告し、緊急の緩和対応を促したが、侵害が発生したかどうかは確認しなかった。
CSOCは「EPMMのようなエッジデバイスは設計上インターネットに面しており、攻撃者にとって非常に魅力的な標的である。また、毎年開示されるエッジデバイスの脆弱性は増加しており、攻撃者によって迅速に悪用されている」と述べた。「NHS Englandの国家CSOCは、エッジデバイスで発見された脆弱性が、ゼロデイ脆弱性として、またはベンダーの開示直後に悪用され続ける可能性が非常に高いと評価している。」
攻撃について公に帰属(犯行主体の特定)はまだ行われておらず、単一の脅威アクターが悪用しているのか、複数なのかは不明だ。
EPMMにおける類似の問題は2023年にも悪用されており、ノルウェー政府は、同製品の欠陥を通じて自国の12機関がハッキングされたことを明らかにした。その事例では同じ製品ファミリー内の別の脆弱性が関与しており、モバイル管理プラットフォームがいかに頻繁に高価値の標的となっているかを浮き彫りにしている。
翻訳元: https://therecord.media/eu-dutch-government-announce-hacks-ivanti-zero-days
