CERT-EUの迅速な対応により、侵害は9時間以内に封じ込められ、重大なIvantiソフトウェアの欠陥(CVE-2026-1281およびCVE-2026-1340)に関連している。
欧州委員会は、同委員会の中央システムがサイバー攻撃の標的となり、職員の個人情報が漏えいした可能性があることを確認した。欧州委員会の公式プレスリリースによると、2026年1月30日、組織は職員の携帯電話やタブレットを管理するために使用されるシステム内で侵入の兆候を検知した。参考までに、この種のソフトウェアはモバイルデバイス管理(Mobile Device Management)として知られ、大規模な組織が多数の端末のアプリやセキュリティ設定を一括で制御するために用いられる。
報道によれば、委員会の中央モバイル基盤が侵害されたという。具体的なソフトウェア提供元は明らかにされていないが、この事案はIvantiが2つの重大な欠陥を警告した翌日に、Ivanti Endpoint Manager Mobile(EPMM)で発生している。
CVE-2026-1281およびCVE-2026-1340として追跡されているこれらの欠陥は、コードインジェクションの問題だ。簡単に言えば、ハッカーが悪意のあるコマンドをシステムに送信でき、ソフトウェアがそれを正当な指示であるかのように誤って実行してしまう。これにより、攻撃者はユーザー名やパスワードを一切必要とせずに、サーバーを遠隔から制御できるようになる。
データ保護のために講じられた迅速な措置
委員会は攻撃の拡大を止めるため迅速に行動した。システムは発見からわずか9時間で確保され、クリーンアップされた。ハッカーが氏名や電話番号を閲覧した可能性はあるものの、委員会は「モバイル端末の侵害は検知されなかった」と述べた。これは、電話の中央「管制室」にあたる部分にはアクセスされた一方で、職員が所持する実際の携帯端末は安全だったことを示唆している。
周知のとおり、欧州の機関はデジタル脅威の標的になりやすい。委員会だけがこの苦闘を強いられているわけではない。類似の攻撃は最近、オランダやフィンランドの政府機関も襲った。例えば、フィンランド政府機関のValtoriは、最大5万人のユーザーに影響する可能性がある侵害を報告した。一方、セキュリティ監視団体のShadowserverは、世界中の他の数十台のサーバーも同じソフトウェア欠陥によって攻撃を受けた可能性が高いと見つけた。
欧州のデジタル防衛の強化
注目すべきは、この事案が、委員会が1月20日にサイバーセキュリティ法2.0を導入してからわずか10日後に発生した点だ。この新たな計画は、大規模攻撃に対するEUのレジリエンス(強靭性)を高めることを目的としている。CERT-EUのような機関は24時間365日これらの脅威を監視し、悪用される前に無力化する支援を行っている。委員会は、今後より良くデータを保護する方法を学ぶため、今回のハッキングについて全面的な見直しを行うと約束した。
専門家の分析
Hackread.comに共有されたコメントで、Barrier Networksの副SOCチームリードであるデビッド・ニーソン氏は、これらのソフトウェア欠陥の扱われ方に懸念を示した。委員会は大きな影響はないと報告しているものの、この状況は「現在のEPMM導入をめぐる憂慮すべき疑問」を提起すると指摘した。以下はニーソン氏のコメント全文である。
「欧州委員会はこの侵害による重大な影響を報告していないものの、現在のEPMM導入をめぐっていくつかの憂慮すべき疑問が生じます。
IvantiはEPMMの欠陥に対する完全な修正一式をまだリリースしておらず、今後数か月で包括的な修正に取り組む間、パッチを提供しているにとどまっています。これらが欧州委員会のEPMM導入に適用されていたかどうかは明らかではなく、適用されていなかったとすれば、パッチ適用にダウンタイムを必要としなかったことを踏まえると懸念されます。
しかし、Ivantiが発行したセキュリティパッチは、ソフトウェアを別バージョンに更新すると元に戻ってしまい、また顧客はEPMMの異なるバージョンを対象にするために別々のパッチを必要とします。これは技術的に必要で、やむを得ない措置なのかもしれませんが、これほど深刻な欠陥の修正としては断片的なアプローチであり、包括的なアップデートであれば避けられたであろう大きなリスクを顧客に残しているとも言えます。Ivantiはそのようなアップデートに取り組んでいると述べていますが、これらの問題だけでも、より即時性のある対応が求められるはずです。
この種の攻撃は最終的にスピードと、標的の不意を突くことに依存します。欧州委員会のシステムでパッチ適用が進行中だったものの、組織内のすべての端末に適用されていなかった可能性もあり、その場合、攻撃者は少なくとも一部のシステムにアクセスできたでしょう。
この攻撃はまた、Ivantiの顧客のうち少数にのみ影響しているように見え、非常に標的型であることがうかがえます。欧州委員会のような組織が狙われたことは、脅威アクターが政治的目的で動いていることを示している可能性があります。攻撃者は間違いなく強い動機を持っており、EU域内外を問わず現在EPMMを使用している他の政府機関は、自らの導入環境に直ちにパッチが適用されていることを確認すべきです。
Ivantiはまた、EPMM侵害の検知を支援するために設計されたRPMツールも発行しており、同社は顧客に対し通常のセキュリティプロトコルと併せて実行することを推奨しています。これは予防策ではありませんが、少なくともこれらの欠陥の悪用に関連する特定のシグナルを確実に示すはずであり、侵害が発生した疑いがある場合には顧客はこれを活用すべきです。」
翻訳元: https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
