Ivanti EPMMの脆弱性、政府機関などを標的に広範囲で悪用
Ivanti Endpoint Manager Mobile(EPMM)の重大な脆弱性が悪用され、世界中の政府機関やその他の組織が標的となっていることが明らかになりました。セキュリティ研究者らは、この活動が将来の攻撃に備える初期アクセスブローカーの存在を示唆していると警告しています。
欧州とオランダにおける具体的な被害事例
Ivantiは先週、オンプレミス版EPMMにおけるコードインジェクションの脆弱性、具体的にはCVE-2026-1281とCVE-2026-1340に対するアドバイザリを公開しました。これらの脆弱性が悪用されると、攻撃者はリモートコード実行が可能になります。
欧州委員会は、中央モバイルインフラに対する攻撃を調査していると発表しました。1月30日のこの攻撃により、一部の職員の名前や携帯電話番号にハッカーがアクセスした可能性があります。このインシデントは9時間以内に封じ込められ、モバイルデバイスの侵害は確認されていません。
一方、オランダ当局は、オランダデータ保護機関と司法評議会がIvanti EPMMの脆弱性を悪用した攻撃によって影響を受けたと確認しました。
脅威アクターの活動と初期アクセスブローカーの台頭
セキュリティ研究者らは、これらの脆弱性を標的とした脅威活動が加速していると指摘しています。Defusedの創設者兼CEOであるSimo Kohonen氏は、「600以上の個別のIPアドレスが悪用に関与しており、システムのフィンガープリンティングからリバースシェルやウェブシェルの確立まで、あらゆるポストエクスプロイト手法が確認されている」と述べています。
Defusedの調査では、ハッカーが侵害されたシステムにJavaクラスローダーをドロップしていることが示されており、これは初期アクセスブローカーの活動を示唆しています。Shadowserverは92の侵害されたインスタンスを検出しており、CVE-2026-1281を標的とした大規模なキャンペーンが進行中であるため、この数は増加すると予想しています。
Censysのデータによると、3,700以上のログインインターフェースが公開されており、その多くがドイツと米国に集中しています。Rapid7の研究者らは、脅威活動の加速を報告しつつも、最近はピーク時の525件から約200件へと緩やかな減少傾向にあると指摘しています。Rapid7の脅威インテリジェンス担当シニアディレクターであるChristiaan Beek氏は、「活動は、脆弱なホストを日常的にスキャンし、大規模なブルートフォース攻撃を行う既知の悪意あるインフラと一致している」と述べています。また、Beek氏は、ランサムウェアグループへの販売の前段階として、n-day脆弱性が足場を得るために使用されている可能性があり、初期アクセスブローカーの活動も確認されています。
Ivanti社の対応と対策
Ivanti社の広報担当者は、同社が「顧客、信頼できる政府機関、セキュリティパートナーと密接に協力している」と述べています。Ivantiは、オランダNCSCとの協力により、侵害指標(IOC)とRPM検出スクリプトを公開しました。同社は「透明性へのコミットメント」と、顧客および広範なエコシステムの保護への取り組みを強調しています。