TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Ivantiを標的としたゼロデイ攻撃で欧州各国政府が侵害

モバイルユーザーに関するデータを窃取することを目的とした協調的なキャンペーンにより、複数の欧州政府機関が標的にされた可能性があることが明らかになった。

先週後半に最初に報じられたところによると、被害は欧州委員会、フィンランド政府、そして少なくともオランダの政府機関2つで発生した。数万人のユーザーの個人情報が漏えいした可能性がある。

標的とみられる製品名を挙げたのはオランダ当局のみで、Ivanti Endpoint Manager Mobile(EPMM)だという。EPMMは以前、ノルウェー政府への攻撃で中国の国家関与が疑われる攻撃者に侵害されたことがある。

しかし、時期から見て3件すべての侵害に関連があることが示唆される。

Ivanti EPMMについて詳しく読む:2つのIvantiゼロデイが実環境で積極的に悪用

欧州委員会は2月6日(金)に短い声明を発表し、「モバイル端末を管理する中央インフラ」が1月30日に侵害の兆候を検知したと説明した。これにより「一部職員の氏名と携帯電話番号にアクセスされた可能性がある」と付け加えた。

声明は続けて、「委員会の迅速な対応により、9時間以内にインシデントは封じ込められ、システムはクリーンアップされた」とした。「モバイル端末の侵害は検知されなかった」という。

同じく2月6日、オランダの司法・治安担当国務長官は議会宛ての公式書簡で、司法評議会(Rvdr)およびオランダ個人データ保護当局(AP)が同様の侵害を受けたと説明した。

同書簡によれば、同国の国家サイバーセキュリティセンターは1月29日にIvantiからEPMMの脆弱性について通知を受けたという。

書簡は続けて、「現在、AP職員の業務関連データ(氏名、業務用メールアドレス、電話番号など)に、権限のない者がアクセスしたことが判明した」としている。

「インシデントの発見直後に対策が講じられた。加えて、APおよびRvdrの職員には通知済みである」とした。

最後に、フィンランド政府ICTセンターのValtoriは2月6日の更新情報で、1月30日に、各機関に提供している「モバイル端末管理サービス」に影響する侵害を発見したと説明した。

「攻撃者は、氏名、業務用メールアドレス、電話番号、端末の詳細など、サービス運用に用いられる情報にアクセスした」と説明した。「このデータからユーザーの正確な位置を特定することはできない。現時点の情報では、モバイル端末自体に直接保存されているデータは侵害されていない。」

Valtoriは主張 として、この方法で最大5万人の政府職員の情報が漏えいした可能性があると述べた。これは同国の中央政府職員総数の約3分の2に相当する。

Ivantiのゼロデイが再び大混乱を引き起こす

Ivantiは1月29日、EPMMに存在する重大(CVSS 9.8)のゼロデイ脆弱性2件に対するパッチを公開し、「開示時点で、非常に限られた数の顧客において、ソリューションが悪用されたことを把握している」と述べた。

CVE-2026-1281およびCVE-2026-1340は、認証不要のリモートコード実行を攻撃者に許す可能性があるコードインジェクションの欠陥として説明されている

Corsica TechnologiesのCISOであるRoss Filipek氏は、脅威アクターが侵害した情報を用いて、内部システムへのより深いアクセスを得るための後続のスピアフィッシング攻撃を仕掛ける可能性があると警告した。

同氏は「政府関係者を標的としたソーシャルエンジニアリング・キャンペーンは、ここ数か月で人気が高まっている」と付け加えた。「昨年12月には、英国の国会議員がロシアによるスピアフィッシング攻撃の標的となり、政府活動を密かに継続監視することを狙っていた。」

Keeper SecurityのCISOであるShane Barney氏は、端末管理システムへの攻撃は、初期の影響が限定的に見える場合でも「不釣り合いなリスク」を伴い得ると述べた。

同氏は続けて、「これらの欠陥が認証なしで悪用できるという事実は、組織がどう対応すべきかを変える。パッチ適用は脆弱性に対処するが、信頼を回復するものではない」と述べた。

「特権的なコントロールプレーンが露出した場合、組織はそれに依存する認証情報、鍵、管理者権限を再評価する必要がある。目的は欠陥を取り除くだけでなく、アクセスがどのように付与され、行使されているかについての信頼を再確立することだ。」

Cequence SecurityのCISOであるRandolph Barr氏は、脅威アクターがEPMMサーバーにアクセスできた場合、悪意ある構成変更をプッシュしたり、認証設定を変更したり、端末証明書を操作したりできる可能性があると警告した。 

同氏は「もう一つ重要なのは、EPMMは通常オンプレミス、または顧客管理のプライベートクラウド環境に導入されるという点だ」と付け加えた。「それは多くのSaaSプラットフォームよりも、実際にはセキュリティチームに大きな制御を与える。適切なアーキテクチャとアクセス制御があれば、組織は露出を実質的に減らし、被害範囲(ブラスト半径)を限定できる。」

翻訳元: https://www.infosecurity-magazine.com/news/european-governments-zeroday/

ソース: infosecurity-magazine.com
#CVE-2026-1281 #CVE-2026-1340 #Endpoint Manager Mobile(EPMM) #Ivanti #スピアフィッシング #ゼロデイ攻撃 #データ侵害 #モバイルデバイス管理(MDM) #リモートコード実行(RCE) #欧州政府機関

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新