結論:Ivanti EPMM利用企業は即時パッチを適用してください
2026年4月8日、米国CISA(サイバーセキュリティ・インフラセキュリティ庁)は、Ivanti Endpoint Manager Mobile(EPMM、旧MobileIron Core)に存在する脆弱性 CVE-2026-1340 をKEV(Known Exploited Vulnerabilities=既知の悪用済み脆弱性)カタログに登録しました。実環境での悪用が確認されており、米連邦政府機関には4月9日までのパッチ適用が義務付けられています。
EPMMはモバイルデバイス管理(MDM)サーバーです。ここが侵害されると、管理下にあるスマートフォン・タブレット全台に影響が波及します。
CVE-2026-1340 の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-1340 |
| CVSS v3 スコア | 9.1(Critical) |
| 脆弱性の種類 | コードインジェクション(CWE-94) |
| 攻撃の前提条件 | 認証不要・リモートから実行可能 |
| 影響を受ける製品 | Ivanti EPMM(旧 MobileIron Core) |
| 悪用状況 | 実環境での悪用を確認済み |
| CISA KEV 追加日 | 2026年4月8日 |
| CISA 修正期限 | 2026年4月9日(米連邦機関向け) |
| ベンダーパッチ | Ivanti がセキュリティアドバイザリを公開済み |
攻撃の仕組み
CVE-2026-1340 は、EPMMのAPIエンドポイントにおける入力値の不適切な処理に起因します。攻撃者は特別に細工したリクエストをEPMMサーバーに送信するだけで、認証をバイパスし、サーバー上で任意のコードを実行できます。
CISA KEV登録が意味すること
CISA KEV(Known Exploited Vulnerabilities)カタログへの登録は、単なる「危険度が高い」という評価ではありません。以下の意味を持ちます。
| 意味 | 詳細 |
|---|---|
| 実際の攻撃が確認済み | 理論上の脅威ではなく、現実に悪用されている |
| 米連邦機関に修正義務 | BOD 22-01に基づき、期限内のパッチ適用が法的に義務付けられる |
| 民間企業への強い推奨 | CISAは民間企業にも同等の緊急度で対応するよう勧告している |
| 攻撃の組織化 | KEV登録される脆弱性は、国家支援型のAPTグループや組織的犯罪集団が悪用しているケースが多い |
MDMサーバーが狙われるリスク——全管理端末への波及
MDMサーバーは、企業のモバイル端末を一元管理する中枢システムです。ここが陥落した場合の影響は、通常のサーバー侵害とは次元が異なります。
MDM侵害で攻撃者が可能になること
| 攻撃行動 | 影響 |
|---|---|
| セキュリティポリシーの無効化 | 全端末のパスコード要件・暗号化設定を解除可能 |
| 悪意あるアプリの一斉配信 | 管理端末全台にマルウェアを自動インストール |
| 端末データの遠隔収集 | 連絡先、メール、位置情報、社内文書を窃取 |
| VPN設定の改ざん | 通信を攻撃者のサーバー経由に変更し、傍受可能 |
| 端末のリモートワイプ | 業務端末を一斉消去し、事業継続を妨害 |
【影響確認チェックリスト】自社は大丈夫か?
以下の項目を確認してください。
- [ ] 自社で Ivanti EPMM(旧 MobileIron Core) を使用しているか把握しているか
- [ ] 使用している場合、EPMMのバージョンは最新のパッチ適用済みか
- [ ] EPMMサーバーの管理APIがインターネットに直接公開されていないか
- [ ] EPMMサーバーのアクセスログに不審なAPIリクエストがないか
- [ ] 管理端末に対する異常なポリシー変更やアプリ配信が発生していないか
- [ ] インシデント対応フローは文書化されているか
1つでもチェックが付かない項目があれば、以下の対策ステップに進んでください。
「MDMサーバーのセキュリティ、本当に大丈夫?」
Ivanti EPMMの脆弱性対応だけでなく、MDM環境全体のセキュリティ強化について専門チームに相談できます。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
対策手順:今すぐ実施すべき3ステップ
ステップ1:パッチを即時適用する
Ivantiが公開したセキュリティアドバイザリに記載された修正バージョンに即時アップデートしてください。パッチ適用前にスナップショットまたはバックアップを取得し、復旧可能な状態を確保してから実施します。
パッチ適用が即座に困難な場合は、EPMMサーバーへのネットワークアクセスを最小限に制限する緩和策を先行して実施してください。具体的には、EPMMのAPIエンドポイントへのアクセスを信頼できるIPアドレスのみに制限します。
ステップ2:ログを確認する
パッチ適用前に侵害を受けている可能性があります。以下のログを重点的に確認してください。
- EPMMサーバーのアクセスログ — 不審なAPIリクエスト(通常の管理操作とは異なるパターン)
- 認証ログ — 失敗した認証試行の急増、見覚えのないアカウントからのアクセス
- ポリシー変更ログ — 管理者が意図していないポリシーの変更履歴
- アプリ配信ログ — 管理者が承認していないアプリの配信記録
ステップ3:IOC(侵害指標)を確認する
IvantiおよびセキュリティベンダーがCVE-2026-1340に関連するIOCを公開しています。自社サーバーのログと照合し、以下を確認してください。
- 既知の攻撃元IPアドレスからの通信がないか
- 攻撃に使用される既知のHTTPリクエストパターンがないか
- 不審なファイルの作成・変更がないか
MDMセキュリティのベストプラクティス
今回の事件を踏まえ、MDM環境の長期的なセキュリティ強化策を以下にまとめます。
ネットワーク分離とアクセス制御
MDMサーバーの管理インターフェースは、インターネットに直接公開しないことが原則です。VPN経由のアクセスに限定するか、IPアドレスベースのアクセス制御リスト(ACL)を適用してください。管理端末からの通信に必要なポートのみを開放し、管理API は別途制限します。
パッチ管理の迅速化
今回のCISA修正期限は1日でした。この速度で対応できる体制を日頃から構築しておく必要があります。
- パッチリリース情報の自動収集(ベンダーのRSSフィード、セキュリティメーリングリスト)
- テスト環境でのパッチ検証プロセスの簡素化
- 緊急パッチ適用時の承認フローの短縮(事前に経営層の包括承認を取得)
監視とアラートの強化
MDMサーバーへの異常なアクセスパターンを検知できる体制を整えてください。
- APIアクセスログのリアルタイム監視
- 通常と異なるポリシー変更の自動アラート
- 管理端末への想定外のアプリ配信の検知
よくある質問(FAQ)
Q1. Ivanti EPMMを使っていない場合、影響はありますか?
いいえ。CVE-2026-1340はIvanti EPMM(旧MobileIron Core)に固有の脆弱性です。他のMDM製品(Microsoft Intune、Jamf、VMware Workspace ONE等)には影響しません。ただし、MDM製品共通のリスクとして、管理サーバーのセキュリティ強化は定期的に見直すべきです。
Q2. CISAの修正期限は日本企業にも適用されますか?
CISAの修正期限は米国連邦機関向けですが、脆弱性の深刻度を示す指標として極めて重要です。実環境での悪用が確認されている以上、日本企業も同等の緊急度で対応することを強く推奨します。
Q3. パッチを適用すれば安全ですか?
パッチは今後の攻撃を防ぎますが、適用前に侵害を受けている可能性があります。必ずステップ2・3のログ確認とIOC調査を実施してください。不審な兆候がある場合は、専門のセキュリティベンダーへ相談することを推奨します。
Q4. MDM製品を社内で運用する人材がいない場合はどうすべきですか?
マネージドMDMサービスの利用を検討してください。パッチ適用・監視・インシデント対応を外部の専門企業に委託することで、セキュリティレベルを維持しつつ運用負荷を軽減できます。GXOでも中小企業向けのセキュリティ運用支援を提供しています。
関連記事
参考情報
- Ivanti「Security Advisory: Ivanti EPMM — CVE-2026-1340」
- CISA Known Exploited Vulnerabilities Catalog「CVE-2026-1340」
- CISA Binding Operational Directive 22-01
- NIST National Vulnerability Database「CVE-2026-1340」
MDMセキュリティの強化、専門家と一緒に進めませんか?
GXO株式会社では、中小企業のモバイルセキュリティ体制構築を支援しています。
- MDM環境セキュリティ診断 — 設定不備・脆弱性の可視化
- パッチ管理体制の構築 — 緊急アップデートを迅速に適用する仕組みづくり
- インシデント対応支援 — 万が一の際の初動対応と復旧計画
まずは現状のリスクを把握するところから始めませんか。
お問い合わせはこちら → gxo.co.jp/contact
GXOの導入事例はこちらでご確認いただけます。