米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2026年5月8日、Ivanti Endpoint Manager Mobile(EPMM)に存在する高危険度の脆弱性 CVE-2026-6973 を「悪用が確認された脆弱性リスト(KEV)」に追加し、連邦政府機関に対して日曜日深夜(日本時間2026年5月11日午後1時)までの修正を義務付けた。たった4日間という異例の短さが、この脆弱性の深刻さをよく物語っている。

CVE-2026-6973 — 何が起きているのか

この脆弱性は、オンプレミス版 EPMM 12.8.0.0 以前に存在するリモートコード実行(RCE)の欠陥だ。攻撃者が管理者権限を持っている場合、対象システム上で任意のコードを実行できる。「管理者権限が前提なら大した問題ではない」と感じた人がいれば、それは危険な誤解だ。

Ivantiは「現時点では非常に限定的な悪用に留まっている」と述べているが、セキュリティ調査組織 Shadowserver の調査では、インターネットに露出した EPMM アプライアンスが800台以上存在することが確認されている。攻撃者にとっては、管理者アカウントへの侵害という初期ステップさえ踏めれば、あとは組織のエンドポイント全体を掌握できる状態だ。

修正版は 12.6.1.1、12.7.0.1、12.8.0.1 として提供されており、Ivantiは同時に管理者権限を持つアカウントを洗い出し、認証情報のローテーションも推奨している。

「管理者権限前提」は安全ではない

この脆弱性の本質的な怖さは、「管理者権限があれば悪用できる」という構造にある。一見すると攻撃ハードルが高いように見えるが、現実はそう単純ではない。

Ivanti EPMMのようなMDM製品の管理者アカウントは、組織内のエンドポイント全体を掌握できる強大な権限を持っている。このアカウントが常時有効な状態で放置されているケースは決して少なくない。仮に管理者アカウントが以前の侵害——たとえば今年1月に悪用された CVE-2026-1281CVE-2026-1340 ——で漏洩していれば、今回の脆弱性の悪用ハードルは一気に下がる。

Ivantiは「1月に認証情報をローテーションした組織はリスクが大幅に低下している」と明言している。裏を返せば、ローテーションを後回しにした組織は今この瞬間も危険に晒されているということだ。

「オンプレ製品のみ」が示すもの

今回の脆弱性が影響するのはオンプレミス版のみで、クラウド版「Ivanti Neurons for MDM」には影響しない。この一文には、単なる注意書き以上のメッセージが含まれている。

オンプレミス製品はパッチ適用のタイミングを組織自身がコントロールできる半面、脆弱性発見から修正適用までの時間は、攻撃者に与えられた猶予でもある。クラウド型であれば、ベンダー側が迅速に対処できる部分も多い。

日本のIT現場では、コンプライアンス要件や既存システムとの統合を理由にオンプレミスMDMを維持しているケースが多い。その選択自体を否定するつもりはないが、「オンプレを選んだ以上、パッチ適用を即座に実行できる体制が常にセットになっているか」は真剣に問い直す価値がある。

実務への対応チェックリスト

Ivanti EPMMを利用しているIT管理者は今すぐ以下を確認してほしい。

  • バージョン確認: 12.8.0.1、12.7.0.1、12.6.1.1のいずれかに更新済みか
  • 管理者アカウントの棚卸し: Admin権限を持つアカウントをすべてリストアップ。不要なものは削除または無効化
  • 認証情報のローテーション: 特に1月のCVE悪用後に実施していない場合は即刻対応
  • アクセスログの精査: 管理者権限での不審なアクセスがなかったか確認
  • 露出面の見直し: EPMMアプライアンスが不必要にインターネットに露出していないか確認。ゼロトラストネットワークアクセス(ZTNA)による保護も検討を

CISAの指令は米国連邦機関向けだが、民間企業においても「CISAが4日以内を命じた脆弱性」は最優先対応の目安として活用できる。

筆者の見解

今回の件で改めて痛感したのは、管理者権限を「常時オン」で運用することの危うさだ。

MDM製品の管理者アカウントは組織の全端末に絶大な権限を持つ。にもかかわらず、それが「必要なときだけ有効にする(Just-In-Time アクセス)」ではなく、24時間365日アクティブな状態で放置されているケースが多い。今回のような「管理者権限があれば悪用可能」という脆弱性が出るたびに、この設計の危うさが繰り返し露わになる。

「最小権限の原則」は理念としては広く知られている。だが実務でちゃんと実装できている組織は、日本においてまだ少数派だと感じる。「今動いているから大丈夫」という現状維持バイアスが、次の侵害の種を静かに育てている。

オンプレミス vs クラウドの議論は「どちらが優れているか」ではなく、「選んだ方式のリスクを自社でどれだけ管理できるか」が本質だ。オンプレを続けるなら、パッチ適用の迅速化と特権アカウント管理の厳格化は絶対条件。Shadowserverが追跡する800台超の露出アプライアンスの中に、日本の組織のものが含まれていないことを願うばかりだ。

出典: この記事は CISA gives feds four days to patch Ivanti flaw exploited as zero-day の内容をもとに、筆者の見解を加えて独自に執筆したものです。