モバイルデバイス管理(MDM)製品に重大な脆弱性が発見され、すでに実攻撃に悪用されていることが確認された。米国の政府機関向けサイバーセキュリティ機関であるCISA(Cybersecurity and Infrastructure Security Agency)は、Ivanti Endpoint Manager Mobile(EPMM)の深刻な脆弱性に対し、連邦民間機関に即時対応を求める緊急指令を発令した。他人事ではない。日本企業でも広く使われているMDM製品群に共通する構造的リスクが、今回の件で改めて浮き彫りになった。

Ivanti EPMMとは何か、何が問題なのか

Ivanti EPMM(旧MobileIron Core)は、スマートフォンやタブレット、ノートPCを一元管理するエンタープライズ向けMDMソリューションだ。企業のBYOD(個人所有デバイスの業務利用)ポリシーの管理や、メール・VPN・アプリの配布制御を担う基盤として、世界中の中〜大規模企業で採用されている。

今回CISAが警告したのは、このEPMMに存在するクリティカルな脆弱性(CVE番号は記事執筆時点では確認中)が、すでに実環境で攻撃に利用されているという点だ。MDM製品の性質上、端末のフルコントロールや認証情報へのアクセス権限を持つため、攻撃者にとって非常に魅力的な標的となる。

CISAはKnown Exploited Vulnerabilities(KEV)カタログに本脆弱性を追加し、連邦機関に対して期限付きの修正適用を義務付けた。KEVカタログへの追加は「理論上のリスク」ではなく「実際の攻撃が確認された証拠」を意味する。

MDM製品が「攻撃の入口」になるリスク

MDMは本来、デバイスを守るためのツールだ。しかしその管理サーバー自体が脆弱であれば、攻撃者にとって「全デバイスへの玄関口」となる逆転現象が起きる。

過去にもIvantiの製品群(Connect SecureやPolicy Secureなど)が相次いで攻撃に悪用されており、今回のEPMMはその文脈の延長線上にある。単一ベンダーへの過度な依存は、そのベンダーの製品群に問題が生じたときのリスク集中を意味する点も、改めて認識しておく必要がある。

実務への影響——日本のIT管理者が今すぐやるべきこと

1. 自社のMDM製品・バージョンを即確認する Ivanti EPMMを使用している場合は、Ivantiのセキュリティアドバイザリページで最新のパッチ情報を確認し、速やかに適用する。バージョン管理が曖昧な環境では、まず棚卸しから始めること。

2. MDM管理サーバーへのアクセスを制限する インターネットに直接公開されているMDM管理コンソールは即座にアクセス制御を見直す。管理系インターフェースは原則として内部ネットワークまたはVPN(あるいはゼロトラストの条件付きアクセス)経由に限定すべきだ。

3. 侵害の痕跡(IoC)を調査する すでに攻撃が行われていた場合、パッチ適用前に侵害されている可能性がある。CISA等が公開するIoCを参照し、ログを精査すること。パッチを当てれば終わりではない。

4. Just-In-Timeアクセスの検討 MDMサーバーへの管理者アクセスは常時付与するのではなく、作業時のみ権限を払い出すJust-In-Time(JIT)方式を検討する。常時アクセス可能な管理者アカウントは、いざ侵害されたときの被害を際限なく広げる。

筆者の見解

今回の件を見て、改めて感じるのは「MDM製品はセキュリティツールであると同時に、最も狙われやすい資産の一つ」という現実だ。

ゼロトラストの観点から言えば、MDMのような管理系サーバーを「社内にあるから安全」「VPNの内側にあるから大丈夫」という前提で運用するのは、もはや通用しない。ネットワーク層で守る時代はとっくに終わっている。認証・認可の層で制御し、管理サーバーへのアクセスそのものを最小限に絞る設計が必要だ。

日本の大企業では、かつてのセキュリティモデルと、中途半端に導入されたゼロトラストの仕組みが混在した状態になっているケースをよく見かける。「VPNで囲えば安心」という発想から脱却できていない組織も多い。しかし現実には、VPNやMDMの管理サーバー自体が突破口になる事例が世界中で起きている。

MDM製品を使うことは正しい。モバイルとPCを統合管理する仕組みはエンタープライズに不可欠だ。ただし、その管理基盤を守ることへの投資を怠ると、守るはずのものが攻撃の橋頭堡になる。Ivantiに限った話ではなく、MDMという仕組みの全体を「攻撃者の目線」で見直すきっかけとしてほしい。

今すぐパッチを当てること。それが最初の一手だ。

出典: この記事は CISA Warns of Actively Exploited Ivanti EPMM Vulnerability の内容をもとに、筆者の見解を加えて独自に執筆したものです。