欧州委員会がサイバー攻撃の被害に遭い、一部職員の氏名と携帯電話番号が盗まれた可能性がある。
欧州連合(EU)の執行機関は金曜日、1月30日に「モバイル端末を管理する中央インフラ」への攻撃を検知したと発表した。調査担当者は、利用者端末が実際に侵害された形跡は確認していない。「このインシデントは封じ込められ、システムは9時間以内にクリーンアップされた」と委員会は述べた。
詳細は乏しいが、ハッキングの公表は、EUの主要なサイバーセキュリティ機関であり委員会内に置かれるCERT-EUが、IvantiのEndpoint Manager Mobile製品における重大なコードインジェクション脆弱性2件(CVE-2026-1281およびCVE-2026-1340として追跡)を警告した翌日に行われた。
欠陥を修正するためにスクリプト更新を展開したIvantiによれば、脆弱性のうち1件は「ごく限られた数の顧客」に対する悪用につながったという。CERT-EUは「悪用の兆候を検知するため、フォレンジック証拠を確保すること」を推奨した。Ivantiは、バージョンアップグレード後に残らないスクリプトより恒久的なパッチを、4月までにリリースする予定だと述べた。
影響を受けたIvanti顧客には、オランダのデータ保護当局および司法評議会が含まれるようで、両機関は金曜日、職員の氏名、業務用メールアドレス、電話番号が不正な第三者により閲覧されたと、同国議会に通知した。
イングランドの国民保健サービス(NHS)は先月末、特にモバイルエンドポイントマネージャーが設計上インターネットに公開されていることから、悪用の試みに警戒するよう病院に警告した。「EPMMのようなエッジデバイスは設計上インターネットに面しており、攻撃者にとって非常に魅力的な標的である。また、毎年開示されるエッジデバイスの脆弱性は増加しており、攻撃者によって迅速に悪用されている」と同機関は述べた(参照: CISA、連邦機関にエッジデバイスの更新を指示)。
ISMGは委員会に対し、攻撃公表とENISAの警告に関連があるのか、何人分の職員情報がアクセスされた可能性があるのか、また攻撃の帰属(アトリビューション)が判明しているのかを問い合わせた。公開時点で回答は得られていない。
2週間足らず前、ENISAの事務局長は、攻撃が増え続ける中で、欧州はサイバーセキュリティへの投資を大幅に増やす必要があると宣言した。
「私たちは追いつけていない」とユハン・レパサールはPoliticoに語った。「このゲームに負けており、しかも大敗している」。ENISA長官は、EUサイバーセキュリティ法の改正案の下で予定されている同機関の予算75%増についても不十分だとし、「能力を倍増させることが絶対的な最低ラインだ」と主張した。
サイバーセキュリティ専門家のハヤ・シュルマンも数日後、ポーランドのエネルギー送電網に対する、壊滅的になり得る(おそらくロシアによる)攻撃を受け、欧州は能動的サイバー防御を強化する必要があるとISMGに語った。
米国のサイバーセキュリティ・インフラストラクチャ庁(CISA)は、Ivanti Endpoint Manager Mobileの欠陥を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」のカタログに追加した。Ivanti製品は、モバイルエンドポイントセキュリティマネージャーを含め、過去数年にわたり多数のゼロデイ攻撃や攻撃を受けており、2023年にはハッカーがEndpoint Manager Mobileの欠陥を利用してノルウェー政府の省庁12機関に侵入した事案も含まれる(参照: Ivanti、ノルウェー政府侵害で2つ目のゼロデイが使用されたと発表)。
サイバーセキュリティ企業watchTowrの分析では、ハッカーが「算術展開(arithmetic expansion)」脆弱性として知られる手法を悪用し、Bashスクリプト言語を介して悪意ある文字列を渡すことで、これらの欠陥を利用できることが判明した。
北バージニアのInformation Security Media Groupのデビッド・ペレラによる報道を含む。
翻訳元: https://www.databreachtoday.com/ivanti-zero-days-likely-deployed-in-eu-dutch-hacks-a-30717
