ssecutils
Security / Browser-native guide

Ivanti EPMM ゼロデイ CVE-2026-6973詳解 - 度重なるRCE悪用とMDMが攻撃の起点になる理由

11Zero tracking reading surface

モバイル端末管理(MDM)製品Ivanti Endpoint Manager Mobile(EPMM)に、またしても積極的に悪用されるリモートコード実行(RCE)のゼロデイ脆弱性が見つかった。CVE-2026-6973である。CISA(米サイバーセキュリティ・インフラ庁)は公開から数時間でこれをKEV(既知の悪用脆弱性カタログ)に追加し、米連邦機関に2026年5月10日までの修正を命じた。EPMMは2026年だけで複数回ゼロデイ悪用の標的になっており、「全社のモバイル端末を管理する基盤」が攻撃の起点になる構造的なリスクを浮き彫りにしている。本稿ではその仕組みと、組織が今すぐ確認すべきことを解説する。

概要

  • 製品:Ivanti Endpoint Manager Mobile(EPMM、旧 MobileIron)。企業のモバイル端末群を管理するMDMインフラ。
  • 脆弱性:CVE-2026-6973。入力検証の不備に起因するRCE。管理者権限を持つリモート攻撃者がEPMM上で任意コードを実行できる。
  • 影響/修正:EPMM 12.8.0.0 以前が影響を受ける。修正版は 12.6.1.1 / 12.7.0.1 / 12.8.0.1。
  • 緊急度:ゼロデイとして積極悪用が確認され、CISAが公開から数時間でKEVに追加。連邦機関には5月10日期限。
  • 攻撃チェーン:2026年1月の未認証RCE(CVE-2026-1281 / CVE-2026-1340、いずれもCVSS 9.8)で初期侵入し、奪取した管理者権限で本RCEを連鎖させる手口が指摘されている。

何が起きたのか

Ivantiは2026年5月、EPMMに高深刻度のRCE脆弱性CVE-2026-6973が存在し、ゼロデイ攻撃で悪用されていることを公表した。CISAは即座にKEVへ追加し、連邦機関に短期の修正期限を課した。EPMMは管理者権限を前提とする脆弱性だが、ここで見落としてはならないのが「管理者権限の前提は、別の脆弱性で簡単に満たされる」という点だ。

EPMMは2026年に入ってから繰り返し標的になってきた。1月には未認証で任意コードを実行できるCVE-2026-1281とCVE-2026-1340(いずれもCVSS 9.8の最高クラス)が悪用され、CISAが緊急の修正を指示した。セキュリティ研究者は、攻撃者がまずこれら1月の未認証脆弱性で侵入して管理者の足場を得たうえで、5月の新RCE(CVE-2026-6973)を組み合わせている可能性を指摘している。つまり「管理者権限が必要だから安全」とは言えず、複数の脆弱性を鎖のようにつなぐエクスプロイトチェーンが現実の脅威になっている。

技術的な解説

EPMMとは何か、なぜ狙われるのか

EPMM(旧MobileIron)は、企業が従業員のスマートフォン・タブレットを一元管理するMDM基盤だ。アプリの配布、設定ポリシーの強制、紛失端末のリモートワイプなどを担う。裏を返せば、EPMMを掌握した攻撃者は組織の全モバイル端末に対する強力な制御権を手にする。端末への不正アプリ配布、設定改ざん、認証情報の窃取につながりかねない。MDMは「管理のために強い権限を集約する」性質上、侵害された際の影響が極めて大きい——だからこそ攻撃者が執拗に狙う。

1月の未認証RCE:Apache RewriteMapのbash注入

攻撃チェーンの起点となり得る1月のCVE-2026-1281 / CVE-2026-1340は、いずれも未認証・ユーザー操作不要でRCEに至る危険な脆弱性だった。根本原因は、ApacheのRewriteMap設定で使われていたbashスクリプトの安全でない使い方にある。

  • CVE-2026-1281:アプリ内配布機能(/mi/bin/map-appstore-url
  • CVE-2026-1340:Androidファイル転送機構(/mi/bin/map-aft-store-url

攻撃者はHTTP GETリクエストのパラメータを操作し、bashの算術展開(arithmetic expansion)処理に悪意あるコマンドを注入する。研究者の解説によれば、パラメータを配列の添字として細工することで(例:gPath['sleep 5']のような形)、bashが変数を評価する際にコマンドが実行される。攻撃者はsleepコマンドで「5秒の遅延」が起きるかを確認し、RCEの成否を判定していた。

※本稿では攻撃の原理を概念レベルで解説しており、実際に動作するエクスプロイトコードや悪用手順は記載していない。防御側が脆弱性の本質を理解するための説明である。

侵害後の挙動

RCEに成功した攻撃者は、観測された範囲で次のような後続活動を行っていた。

  • リバースシェルの確立(攻撃者の端末へ接続を張り、遠隔操作する)
  • Webシェルの設置401.jsp403.jspなどのJSPファイルを置き、持続的なアクセス経路を確保)
  • 暗号通貨マイナーの展開
  • 偵察sleepによる疎通確認)
  • 監視エージェント「Nezha」のダウンロード、持続的バックドアの設置

1月の段階では、攻撃の多くが自動化された日和見的(opportunistic)スキャンだった。攻撃者は公開された脆弱性をスキャンフレームワークに素早く組み込み、インターネット上のEPMMを手当たり次第に探索・侵害していた。PAN-OSFortiClient EMSと同様、インターネットに面した管理製品は公開直後から一斉に狙われる。

日本企業への影響

EPMM(MobileIron)は世界中の企業・官公庁で利用されており、観測された攻撃は米国・ドイツ・オーストラリア・カナダの州/地方政府、医療、製造、専門サービス、テクノロジー各分野に及んだ。日本でもMDMとしてMobileIron/EPMMを導入している組織は少なくなく、対岸の火事ではない。

  • インターネット公開のMDMは常時スキャンされている:EPMMの管理ポータルやゲートウェイをインターネットに公開していれば、公開された脆弱性は即座に自動スキャンの対象になる。「攻撃される前に塞ぐ」猶予は年々短くなっている。
  • MDM侵害は全モバイル端末の侵害に直結し得る:管理基盤を取られれば、配下の端末への不正アプリ配布や設定改ざんを通じて被害が拡大する。
  • 「管理者権限が必要だから低リスク」は誤り:未認証の脆弱性と連鎖されれば、管理者前提のRCEも現実的な脅威になる。単一CVEのCVSSだけでリスクを判断しない姿勢が重要だ。

今すぐ確認すべきポイント

1. 修正版へ直ちに更新する

EPMMを修正版(12.6.1.1 / 12.7.0.1 / 12.8.0.1、または利用バージョンに対応するRPM)へ更新する。Ivantiによればパッチ適用にダウンタイムは不要で、機能への影響も確認されていないとされる。1月のCVE-2026-1281 / CVE-2026-1340 を含め、過去のEPMM脆弱性の修正が適用済みかも併せて確認する。

2. パッチ前に侵害有無を調査する

既に悪用された可能性があるため、パッチを当てる前に侵害痕跡(IOC)を確認することが重要だ。パッチだけ当てても、すでに設置されたWebシェルやバックドアは残り続ける。

  • Webルート配下に見覚えのないJSPファイル(401.jsp403.jsp等)がないか
  • /mifs/c/appstore/fob//mifs/c/aftstore/fob/ へのアクセスログに不審なパラメータ(sleepやコマンド注入を示す文字列)がないか
  • 予期しないアウトバウンド接続(リバースシェル)、暗号通貨マイナーやNezhaエージェントのプロセス・通信がないか
  • 見覚えのない管理者アカウントやセッションが作成されていないか

3. 管理ポータルの露出を最小化する

EPMMの管理インターフェースをインターネットに直接公開している場合、アクセス元を制限する。VPNやゼロトラストのアクセス制御を前段に置き、管理機能への到達経路を限定することで、自動スキャンによる悪用リスクを大幅に下げられる。

4. 侵害が疑われる場合は「深い侵害」を前提に対応する

悪用の痕跡が見つかった場合、表面的なファイル削除では不十分だ。攻撃者は複数のバックドアや永続化を仕込んでいる可能性が高い。インシデント対応手順に沿って、証拠保全・封じ込め・根絶を体系的に進め、必要なら専門家の支援を受ける。

5. インターネット公開資産の脆弱性管理プロセスを点検する

EPMMに限らず、VPN・MDM・ファイル転送など「インターネットに面した管理製品」は攻撃者の最優先標的だ。CISA KEVに登録された脆弱性を優先的に修正する運用、公開資産のアタックサーフェス管理(ASM)、緊急パッチを迅速に適用できる体制を整える。

参考情報

  • SecurityWeek: Ivanti Patches EPMM Zero-Day Exploited in Targeted Attacks
  • The Hacker News: Two Ivanti EPMM Zero-Day RCE Flaws Actively Exploited, Security Updates Released
  • Palo Alto Networks Unit 42: Critical Vulnerabilities in Ivanti EPMM Exploited(CVE-2026-1281, CVE-2026-1340)
  • Dark Reading: Ivanti EPMM Zero-Day Bugs Spark Exploit Frenzy — Again
  • CISA: Known Exploited Vulnerabilities Catalog(CVE-2026-6973 ほか Ivanti EPMM 関連)
Related reading

関連記事

Security11
Copy Fail(CVE-2026-31431)詳解 - 732バイトでrootを奪うLinuxカーネル権限昇格ゼロデイ2026年4月公開・CISA KEV即追加のLinuxカーネル権限昇格ゼロデイ「Copy Fail」(CVE-2026-31431、CVSS 7.8)を解説。AF_ALGのalgif_aeadに2017年から潜む最適化バグで、ディスクを書き換えずページキャッシュ上のsetuidバイナリへ4バイト上書きしrootを奪う仕組み、競合条件不要で決定論的に動く732バイトのエクスプロイト、Kubernetesコンテナ脱出やマルチテナント侵害のクラウドリスク、影響カーネル4.14〜6.19.12と修正・algif_aead無効化の緊急回避策を日本語で整理します。
Security11
Kyberランサムウェア詳解 - 耐量子暗号Kyber1024を実装した「将来も復号不能」な脅迫の登場2026年3月にRapid7が解析した耐量子暗号を掲げる新興ランサムウェア「Kyber」を解説。Windows版(Rust製)はKyber1024(ML-KEM-1024)とX25519・AES-256-CTRを本当に実装する一方、Linux/ESXi版は「ポスト量子」を謳いつつ実体はChaCha8とRSA-4096という二面性、シャドウコピー削除・SQL/Exchange停止・実験的Hyper-V停止、VMwareデータストアを狙うESXi暗号化、米防衛関連企業の被害、耐量子暗号が「将来の復号」希望まで奪う意味と、暗号方式に関わらず鍵管理・バックアップ・ESXi防御が本質である理由を日本語で整理します。
Security12
GRIDTIDE詳解 - Google Sheetsを司令塔に通信事業者を狙った中国系APT UNC2814のスパイ活動2026年にGoogle/Mandiantが摘発した中国系APT UNC2814の諜報作戦「GRIDTIDE」を解説。42カ国53組織(疑い含め70カ国超)の通信事業者・政府機関を侵害し加入者のPII(氏名・電話番号・生年月日・国民ID)を窃取した実態、C言語製バックドアがGoogle SheetsのAPIをC2に悪用して正規クラウドトラフィックに紛れる手口、systemdサービスxaptによる永続化とSoftEther VPNの悪用、Mandiantが異常なプロセスツリーから検知しGoogle Cloudプロジェクトごと無効化した対応、Salt Typhoonとの違い、通信・正規SaaSのアウトバウンド監視という日本企業向けの教訓を日本語で整理します。
Security12
Turla Kazuarが「P2Pボットネット」へ進化 - 検知を避ける国家系バックドアの新アーキテクチャ2026年5月にMicrosoftが解析したロシアFSB系APT Turla(Secret Blizzard)のバックドア「Kazuar」がモジュール型P2Pボットネットへ進化した事案を解説。Kernel/Bridge/Workerの3モジュール構成、リーダー選出で外部通信端末を1台に絞り検知痕跡を最小化する仕組み、150超の設定とHTTP/WebSocket/Exchange Web Servicesの多重C2、AMSI/ETWバイパスや通信ブラックアウトによる隠蔽、外務省・大使館・防衛企業を狙う諜報目的、攻撃面削減ルール・EDRブロックモード・改ざん防止による防御を日本語で整理します。
Learn の記事一覧へ戻る