欧州連合(EU)の当局者らは、職員のモバイル端末を管理するために使用されているシステムが攻撃者に侵害され、限定的な個人データが露出した可能性があることを受けて、サイバーセキュリティ上のインシデントを調査している。
欧州委員会は、中央のモバイル端末管理インフラに対するサイバー攻撃を検知し、迅速に封じ込めに動いたと述べた。
「EU委員会は、システムを迅速にクリーンアップし、モバイル端末が侵害されていないことを確実にした点でうまく対応しました」と、Corsica TechnologiesのCISOであるRoss Filipek氏は、eSecurityPlanetへのメールで述べた。
同氏は次のように説明した。「とはいえ、攻撃者に盗まれた情報は、初回の攻撃後にフィッシング・キャンペーンで悪用されるリスクが依然としてあります。これらは、被害者からさらなる金銭を脅し取ったり、ユーザーアカウントの乗っ取りを通じて内部システムへのより深いアクセスを得たりすることを目的としています。」
Ross氏はさらに、「EU委員会での侵害の影響は、単一の機関にとどまらず、何百もの組織やネットワークに及びます」と付け加えた。
「この侵害が、重要インフラを狙う脅威アクターに対する防御強化のための新たな法案を欧州委員会が提案した直後に起きたのは、偶然ではない可能性が高い」と、SwimlaneのLead Security Automation ArchitectであるNick Tausek氏は、eSecurityPlanetへのメールで述べた。
同氏は次のように説明した。「セキュリティ防御にAIエージェントを統合することで、セキュリティ環境を継続的かつ自動的にスキャンし、高度な脅威に対して競争条件を平準化できます。」
Nick氏はさらに、「この方法により、これらのエージェントは攻撃者が悪用する前に防御の弱点を検出してセキュリティチームに警告したり、どのギャップが悪用されるかを予測して、脅威アクターがマルウェア展開や長期的な監視のために内部システム深部に足場を確立することを阻止する対抗措置を起動したりできます」と付け加えた。
類似のMDM攻撃が欧州全域に拡大
欧州委員会は侵入経路を明らかにしていないものの、このインシデントは、欧州の公共部門で広く使われているモバイル端末管理(MDM)プラットフォームの弱点を突く攻撃の波が広がっている状況と重なっている。
この公表はまた、国家支援型および犯罪者による脅威に対する防御を強化することを目的とした新たなサイバーセキュリティ法制を欧州委員会が導入した直後でもあった。
欧州委員会の侵害は、欧州各地で報告されている、ほぼ同一の一連の攻撃と整合しているように見える。
欧州委員会の発表とほぼ同時期に、オランダ当局は、オランダ個人データ保護当局(Autoriteit Persoonsgegevens、AP)と司法評議会(Raad voor de rechtspraak、Rvdr)の双方が侵害されたことを確認した。
これらのケースでは、攻撃者がIvanti Endpoint Manager Mobile(EPMM)の脆弱性を悪用した後、従業員の氏名、業務用メールアドレス、電話番号にアクセスした。
オランダ国家サイバーセキュリティセンター(NCSC)は、政府および企業環境全体でモバイル端末、アプリケーション、コンテンツを管理するために使用されるEPMMソフトウェアの重大な欠陥について、Ivantiから通知を受けたと述べた。
フィンランド当局も関連する侵害を報告しており、Valtoriは、最大5万人のユーザーに影響し得るモバイル端末管理サービスへの攻撃を公表した。
Ivantiは、CVE-2026-1281およびCVE-2026-1340として追跡されている2つの重大なEPMM脆弱性について、顧客に警告した。
いずれもコード注入の欠陥であり、未パッチのシステムに対して認証なしのリモート攻撃者が任意のコードを実行でき、影響を受けるサーバーを事実上完全に制御できるようになる。
欧州委員会は、侵害の侵入経路としてIvanti EPMMを確認していないが、時期、規模、技術的な類似性から、関連の可能性が示唆される。
MDMプラットフォームは、IDサービス、端末ポリシー、管理者アクセスと統合されるため、機微なシステムである。
氏名や電話番号といったディレクトリレベルのデータが限定的に露出しただけでも、標的型フィッシング、ソーシャルエンジニアリング、またはその後の侵入のリスクを高め得る。
モバイル端末管理プラットフォームにおけるリスク低減
モバイル端末管理プラットフォームは、企業および政府環境全体にわたる広範な管理者アクセスを提供するため、標的にされることが増えている。
組織はMDMインフラを重要資産として扱い、露出を減らし、影響を限定し、対応準備を強化するために多層防御を適用すべきである。
- ベンダーのパッチを適用し、未パッチの脆弱性に対する緩和ガイダンスに従う。
- ネットワーク分離、強力な認証、最小権限を用いて、MDMインフラへのアクセスを制限し強化する。
- 異常なコマンド、設定変更、外向きトラフィックなどを含め、侵害の兆候についてMDMシステムを監視する。
- MDMサーバーをセグメント化し、アプリケーションの許可リストを強制し、送信(egress)制御を厳格化することで、影響範囲(blast radius)を限定する。
- 認証情報、APIキー、ディレクトリアクセスをローテーションおよび最小化し、侵害後の影響を低減する。
- 露出した職員の連絡先データを高リスクとして扱い、フィッシング、なりすまし、後続攻撃への警戒を高める。
- 封じ込め、認証情報のリセット、システム復旧を含め、MDM侵害に備えたインシデント対応および復旧計画を定期的にテストする。
これらの対策を組み合わせることで、MDMの露出を減らし、侵害が発生した場合の影響範囲を限定し、組織が迅速に封じ込めと復旧を行う能力を向上させる。
モバイル管理インフラがより一般的な標的となる中、欧州委員会のインシデントは、これらのシステムがどのように保護されているかを再評価する必要性を浮き彫りにしている。
その再評価はしばしば、暗黙のアクセスを制限し、境界型防御への依存を減らすゼロトラスト・ソリューションへと組織を導く。
翻訳元: https://www.esecurityplanet.com/threats/european-commission-hit-by-mobile-management-data-breach/
