結論:Ivanti EPMM利用企業は即時パッチを適用してください
2026年4月8日、米国CISA(サイバーセキュリティ・インフラセキュリティ庁)は、Ivanti Endpoint Manager Mobile(EPMM、旧MobileIron Core)に存在する脆弱性 CVE-2026-1340 をKEV(Known Exploited Vulnerabilities=既知の悪用済み脆弱性)カタログに登録しました。実環境での悪用が確認されており、米連邦政府機関には4月9日までのパッチ適用が義務付けられています。
EPMMはモバイルデバイス管理(MDM)サーバーです。ここが侵害されると、管理下にあるスマートフォン・タブレット全台に影響が波及します。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
CVE-2026-1340 の概要
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-1340 |
| CVSS v3 スコア | 9.1(Critical) |
| 脆弱性の種類 | コードインジェクション(CWE-94) |
| 攻撃の前提条件 | 認証不要・リモートから実行可能 |
| 影響を受ける製品 | Ivanti EPMM(旧 MobileIron Core) |
| 悪用状況 | 実環境での悪用を確認済み |
| CISA KEV 追加日 | 2026年4月8日 |
| CISA 修正期限 | 2026年4月9日(米連邦機関向け) |
| ベンダーパッチ | Ivanti がセキュリティアドバイザリを公開済み |
攻撃の仕組み
CVE-2026-1340 は、EPMMのAPIエンドポイントにおける入力値の不適切な処理に起因します。攻撃者は特別に細工したリクエストをEPMMサーバーに送信するだけで、認証をバイパスし、サーバー上で任意のコードを実行できます。
CISA KEV登録が意味すること
CISA KEV(Known Exploited Vulnerabilities)カタログへの登録は、単なる「危険度が高い」という評価ではありません。以下の意味を持ちます。
横にスクロールして確認できます
| 意味 | 詳細 |
|---|---|
| 実際の攻撃が確認済み | 理論上の脅威ではなく、現実に悪用されている |
| 米連邦機関に修正義務 | BOD 22-01に基づき、期限内のパッチ適用が法的に義務付けられる |
| 民間企業への強い推奨 | CISAは民間企業にも同等の緊急度で対応するよう勧告している |
| 攻撃の組織化 | KEV登録される脆弱性は、国家支援型のAPTグループや組織的犯罪集団が悪用しているケースが多い |
今回のCISA修正期限はわずか1日(4月8日登録→4月9日期限)です。この異例の短さ自体が、脅威の深刻度を物語っています。
MDMサーバーが狙われるリスク——全管理端末への波及
MDMサーバーは、企業のモバイル端末を一元管理する中枢システムです。ここが陥落した場合の影響は、通常のサーバー侵害とは次元が異なります。
MDM侵害で攻撃者が可能になること
横にスクロールして確認できます
| 攻撃行動 | 影響 |
|---|---|
| セキュリティポリシーの無効化 | 全端末のパスコード要件・暗号化設定を解除可能 |
| 悪意あるアプリの一斉配信 | 管理端末全台にマルウェアを自動インストール |
| 端末データの遠隔収集 | 連絡先、メール、位置情報、社内文書を窃取 |
| VPN設定の改ざん | 通信を攻撃者のサーバー経由に変更し、傍受可能 |
| 端末のリモートワイプ | 業務端末を一斉消去し、事業継続を妨害 |
つまり、MDMサーバー1台の侵害が、管理下にある数百〜数千台の端末すべてのセキュリティ崩壊につながります。 経営者の端末、営業担当の顧客情報、開発者のソースコードアクセス——すべてが危険にさらされます。
【影響確認チェックリスト】自社は大丈夫か?
以下の項目を確認してください。
- 自社で Ivanti EPMM(旧 MobileIron Core) を使用しているか把握しているか
- 使用している場合、EPMMのバージョンは最新のパッチ適用済みか
- EPMMサーバーの管理APIがインターネットに直接公開されていないか
- EPMMサーバーのアクセスログに不審なAPIリクエストがないか
- 管理端末に対する異常なポリシー変更やアプリ配信が発生していないか
- インシデント対応フローは文書化されているか
1つでもチェックが付かない項目があれば、以下の対策ステップに進んでください。
「MDMサーバーのセキュリティ、本当に大丈夫?」
Ivanti EPMMの脆弱性対応だけでなく、MDM環境全体のセキュリティ強化について専門チームに相談できます。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
対策手順:今すぐ実施すべき3ステップ
ステップ1:パッチを即時適用する
Ivantiが公開したセキュリティアドバイザリに記載された修正バージョンに即時アップデートしてください。パッチ適用前にスナップショットまたはバックアップを取得し、復旧可能な状態を確保してから実施します。
パッチ適用が即座に困難な場合は、EPMMサーバーへのネットワークアクセスを最小限に制限する緩和策を先行して実施してください。具体的には、EPMMのAPIエンドポイントへのアクセスを信頼できるIPアドレスのみに制限します。
ステップ2:ログを確認する
パッチ適用前に侵害を受けている可能性があります。以下のログを重点的に確認してください。
- EPMMサーバーのアクセスログ — 不審なAPIリクエスト(通常の管理操作とは異なるパターン)
- 認証ログ — 失敗した認証試行の急増、見覚えのないアカウントからのアクセス
- ポリシー変更ログ — 管理者が意図していないポリシーの変更履歴
- アプリ配信ログ — 管理者が承認していないアプリの配信記録
ステップ3:IOC(侵害指標)を確認する
IvantiおよびセキュリティベンダーがCVE-2026-1340に関連するIOCを公開しています。自社サーバーのログと照合し、以下を確認してください。
- 既知の攻撃元IPアドレスからの通信がないか
- 攻撃に使用される既知のHTTPリクエストパターンがないか
- 不審なファイルの作成・変更がないか
MDMセキュリティのベストプラクティス
今回の事件を踏まえ、MDM環境の長期的なセキュリティ強化策を以下にまとめます。
ネットワーク分離とアクセス制御
MDMサーバーの管理インターフェースは、インターネットに直接公開しないことが原則です。VPN経由のアクセスに限定するか、IPアドレスベースのアクセス制御リスト(ACL)を適用してください。管理端末からの通信に必要なポートのみを開放し、管理API は別途制限します。
パッチ管理の迅速化
今回のCISA修正期限は1日でした。この速度で対応できる体制を日頃から構築しておく必要があります。
- パッチリリース情報の自動収集(ベンダーのRSSフィード、セキュリティメーリングリスト)
- テスト環境でのパッチ検証プロセスの簡素化
- 緊急パッチ適用時の承認フローの短縮(事前に経営層の包括承認を取得)
監視とアラートの強化
MDMサーバーへの異常なアクセスパターンを検知できる体制を整えてください。
- APIアクセスログのリアルタイム監視
- 通常と異なるポリシー変更の自動アラート
- 管理端末への想定外のアプリ配信の検知
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。【CISA KEV登録】Ivanti EPMM脆弱性(CVE-2026-1340)|MDMサーバーへのコードインジェクション攻撃に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
自社だけで整理が難しい場合、GXOは脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる。最初から大規模な発注を前提にせず、現状整理や診断から必要な範囲を確認できます。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ)
Q1. Ivanti EPMMを使っていない場合、影響はありますか?
いいえ。CVE-2026-1340はIvanti EPMM(旧MobileIron Core)に固有の脆弱性です。他のMDM製品(Microsoft Intune、Jamf、VMware Workspace ONE等)には影響しません。ただし、MDM製品共通のリスクとして、管理サーバーのセキュリティ強化は定期的に見直すべきです。
Q2. CISAの修正期限は日本企業にも適用されますか?
CISAの修正期限は米国連邦機関向けですが、脆弱性の深刻度を示す指標として極めて重要です。実環境での悪用が確認されている以上、日本企業も同等の緊急度で対応することを強く推奨します。
Q3. パッチを適用すれば安全ですか?
パッチは今後の攻撃を防ぎますが、適用前に侵害を受けている可能性があります。必ずステップ2・3のログ確認とIOC調査を実施してください。不審な兆候がある場合は、専門のセキュリティベンダーへ相談することを推奨します。
Q4. MDM製品を社内で運用する人材がいない場合はどうすべきですか?
マネージドMDMサービスの利用を検討してください。パッチ適用・監視・インシデント対応を外部の専門企業に委託することで、セキュリティレベルを維持しつつ運用負荷を軽減できます。GXOでも中小企業向けのセキュリティ運用支援を提供しています。
関連記事
参考情報
- Ivanti「Security Advisory: Ivanti EPMM — CVE-2026-1340」
- CISA Known Exploited Vulnerabilities Catalog「CVE-2026-1340」
- CISA Binding Operational Directive 22-01
- NIST National Vulnerability Database「CVE-2026-1340」
MDMセキュリティの強化、専門家と一緒に進めませんか?
GXO株式会社では、中小企業のモバイルセキュリティ体制構築を支援しています。
- MDM環境セキュリティ診断 — 設定不備・脆弱性の可視化
- パッチ管理体制の構築 — 緊急アップデートを迅速に適用する仕組みづくり
- インシデント対応支援 — 万が一の際の初動対応と復旧計画
まずは現状のリスクを把握するところから始めませんか。
お問い合わせはこちら → gxo.co.jp/contact
GXOの導入事例はこちらでご確認いただけます。







