オランダのデータ保護当局(AP)は、最近のIvantiの脆弱性がゼロデイとして悪用されるのに攻撃者が殺到した際、侵害された多数の組織の一つだったと述べた。
司法担当国務長官のアルノ・ルッテ氏と王国関係担当国務長官のエディ・ファン・マルム氏は、オランダ議会に宛てた書簡を共同で作成し、1月のIvanti Endpoint Manager Mobile(EPMM)の不具合に関連する攻撃がデータ侵害につながったことを確認した。
書簡によれば、攻撃は1月29日に発生し、APと司法評議会(RVDR)の双方の職員に影響した。
攻撃者は、氏名、業務用メールアドレス、電話番号などの個人データにアクセスした可能性がある。
上級閣僚らは、具体的な人数といった侵害規模についてはコメントしなかったが、影響を受けた全員に直接通知したと述べた。
では、このような場合、国のデータ保護当局は誰に対して自らを報告するのか。答えは、このケースではデータ保護責任者である。一方で、APの通常の担当者は、通常どおり当局に自己報告したRVDRでの侵害について調査している。
これらの調査が継続する中、同国のサイバーセキュリティ機関(NCSC-NL)はIvanti EPMMの脆弱性(CVE-2026-1281およびCVE-2026-1340)を注視し、パートナーと協力して、これらの脆弱性がもたらす追加の脅威を把握しようとしている。
書簡によれば、政府CIO室(CIO Rijk)も、中央政府全体により広範なリスクがあるかどうかを調査している。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、初期開示の直後にCVE-2026-1281(9.8)を既知の悪用されている脆弱性(KEV)リストに追加することで、同脆弱性が実際に悪用されていたことを確認した。
当時のIvantiのセキュリティ勧告には、「開示時点で、ソリューションが悪用された顧客はごく限られた数であることを把握している」と記されていた。
しかし、外部ソースからの警告は、ベンダーの「ごく限られた」という表現が示唆するよりも、攻撃がより頻繁に起きている可能性を示していた。
Ivantiの不具合に関する独自の警告の中で、英国の国民保健サービス(NHS)は、EPMMデバイスは設計上ウェブに公開されており、攻撃者にとって格好の標的になると強調した。
同機関は次のように述べた。「EPMMのようなエッジデバイスは設計上インターネットに面しており、攻撃者にとって非常に魅力的な標的である。また、毎年開示されるエッジデバイスの脆弱性は増加しており、攻撃者によって迅速に悪用されている。
「NHSイングランドのナショナルCSOCは、エッジデバイスで発見された脆弱性が、ゼロデイ脆弱性として、またはベンダー開示の直後に悪用され続ける可能性が非常に高いと評価している。」
watchTowrのCEOであるベンジャミン・ハリス氏も、同社の顧客基盤から得た情報によれば、EPMMデバイスは高価値の組織で使用されることが多いと、脆弱性開示の前後に述べていた。
「Ivantiからパッチは提供されているが、パッチ適用だけでは不十分だ。脅威アクターはこれらの脆弱性をゼロデイとして悪用してきた。したがって、開示時点で脆弱なインスタンスをインターネットに公開している組織は、それらが侵害されたものと見なし、インフラを撤去し、インシデント対応プロセスを開始しなければならない。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/09/dutch_data_protection_ivanti/
