概要

オランダのデータ保護機関（AP）と司法評議会（Rvdr）は、最近公開されたIvanti Endpoint Manager Mobile（EPMM）のセキュリティ欠陥を悪用したサイバー攻撃により、両機関のシステムが影響を受けたことを明らかにしました。

この発表は金曜日に議会に送られた通知に基づいています。APは、「1月29日、国家サイバーセキュリティセンター（NCSC）は、EPMMの脆弱性についてサプライヤーから通知を受けた」と述べています。「EPMMは、モバイルデバイス、アプリ、コンテンツ、およびそれらのセキュリティを管理するために使用されている」と説明されています。

被害状況

今回の事態により、AP職員の氏名、ビジネスメールアドレス、電話番号など、業務関連データが不正な第三者によってアクセスされたことが判明しています。

同様に、欧州委員会もモバイルデバイスを管理する中核インフラでサイバー攻撃の「痕跡」を特定し、一部職員の氏名と携帯電話番号へのアクセスにつながった可能性があると発表しました。欧州委員会は、このインシデントが9時間以内に封じ込められ、モバイルデバイスの侵害は検出されなかったと述べています。

さらに、フィンランドの国家情報通信技術プロバイダーであるValtoriも、最大**50,000人の政府職員の業務関連詳細が流出**したことを公表しました。このインシデントは2026年1月30日に特定され、モバイルデバイス管理サービスのゼロデイ脆弱性が標的となりました。

技術的詳細と脆弱性

Valtoriは、IvantiがCVE-2026-1281およびCVE-2026-1340（CVSSスコア：9.8）の修正パッチをリリースした同日の2026年1月29日に、是正パッチを適用したと述べています。これらの脆弱性は、攻撃者によって**認証なしのリモートコード実行（RCE）**を達成するために悪用される可能性がありました。

Ivantiは、これらの脆弱性が**ゼロデイとして悪用された**ことをすでに明らかにしています。攻撃者は、氏名、勤務先メールアドレス、電話番号、デバイスの詳細など、サービス運用に使用される情報にアクセスしたとされています。

「調査により、管理システムが削除されたデータを永続的に削除せず、単に削除済みとしてマークしていたことが判明した」とValtoriは述べています。その結果、サービスライフサイクル中にEPMMを使用していた**すべての組織に属するデバイスおよびユーザーデータが侵害された可能性**があるとのことです。特定のケースでは、1つのモバイルデバイスに複数のユーザーが存在することもあり得ます。

まとめ

今回の広範なデータ流出事件は、モバイルデバイス管理ソリューションにおけるセキュリティの脆弱性と、ゼロデイ攻撃の脅威の深刻さを改めて浮き彫りにしました。組織は、利用しているシステムのセキュリティパッチ適用状況を常に監視し、潜在的な脆弱性への対策を強化することが喫緊の課題となっています。

---

元記事: https://thehackernews.com/2026/02/dutch-authorities-confirm-ivanti-zero.html