概要

GreyNoise社の報告によると、Ivanti Endpoint Manager Mobile（EPMM）に対する脆弱性攻撃の大部分は、特定のIPアドレスから行われているとされています。このIPアドレスは、通常のインジケーター・オブ・コムpromise（IoCs）では検出されない「隠れた」ホスティングインフラストラクチャに位置しています。

詳細

GreyNoise社の報告によると、Ivanti EPMMを標的とした攻撃の大半は、特定のIPアドレスから行われているとされています。このIPアドレスは、通常のインジケーター・オブ・コムpromise（IoCs）では検出されない「隠れた」ホスティングインフラストラクチャに位置しています。

このIPアドレスからの攻撃は、Ivanti EPMMだけでなく、Oracle WebLogicも標的としています。しかし、GreyNoise社の研究者によると、このIPアドレスから送信されるトラフィックの大半がOracle WebLogicに関連しており、Ivanti EPMMに対する攻撃は容易に見逃されてしまう可能性があります。

影響

Ivanti社は先月、EPMMのオンプレミス版で存在する重大なコードインジェクション脆弱性（CVE-2026-1281およびCVE-2026-1340）を発表しました。これらの脆弱性が悪用されると、攻撃者はリモートコード実行を可能にします。

GreyNoise社の研究者によると、このIPアドレスからのIvanti EPMMに対する攻撃は全体の9%しか占めておらず、残りの91%がOracle WebLogicに関連しています。しかし、このIPアドレスから送信されるトラフィックの大半がOracle WebLogicに関連しているため、セキュリティチームは誤ってOracle WebLogicを主な標的と見過ごす可能性があります。

対策

Ivanti社は顧客に対して、パッチの適用を強く推奨しています。また、Ivanti EPMMが存在する場合、既に攻撃を受けたかどうかを確認することも重要です。

「パッチの適用は、時間経過とともに変化するIOCsに関わらず、最も効果的な防御策です。特に証明概念（POC）が利用可能になった場合、これは特に重要な対策となります」とIvanti社のスポークスマンは述べています。

まとめ

Ivanti EPMMに対する攻撃の大半は特定のIPアドレスから行われており、このIPアドレスは通常のIoCsでは検出されません。セキュリティチームは、Oracle WebLogicを主な標的と見過ごさないように注意する必要があります。

---

元記事: https://www.cybersecuritydive.com/news/majority-ivanti-epmm-hidden-ip/811960/