Ivanti Sentry に最大深刻度（CVSS 10.0）の脆弱性 CVE-2026-10520——パッチ公開翌日に実攻撃確認、未適用は侵害済みとみなせ

セキュリティゲートウェイ製品「Ivanti Sentry」に最大深刻度（CVSSスコア10.0）のOSコマンドインジェクション脆弱性（CVE-2026-10520）が発見され、Ivantiがパッチを公開した翌日にはすでに実攻撃での悪用が確認された。

Ivanti Sentry とは

旧称「MobileIron Sentry」として知られるIvanti Sentryは、モバイルデバイスと社内バックエンドシステム間のトラフィックを保護するセキュリティゲートウェイアプライアンスです。世界40,000社以上が利用するエンタープライズIT管理ソリューションの一部であり、特にモバイルデバイス管理（MDM）環境において重要な役割を担っています。

脆弱性 CVE-2026-10520 の詳細

CVE-2026-10520はOSコマンドインジェクションの弱点に起因する最大深刻度（CVSS 10.0）の脆弱性です。インターネットに露出しているSentryゲートウェイに対して、認証なしでroot権限によるコード実行が可能になります。

Ivantiは2026年6月にパッチを提供しており、以下のバージョンが対象です：

• Sentry R10.5.2
• Sentry R10.6.2
• Sentry R10.7.1

「悪用の証拠なし」翌日に実攻撃を確認

問題の深刻さは、Ivantiがパッチ公開時に「悪用の証拠はない」と発表したにもかかわらず、翌日にはセキュリティ非営利組織 Shadowserver が実際の攻撃を観測したことです。

Shadowserverは次のように警告しています。「公開されたPoC（概念実証コード）をもとにした大量の悪用試みを確認している。自社スキャンでは19件の脆弱なインスタンスを発見し、少なくとも2件にはバックドアが仕込まれていた。しかし残りもすべて侵害済みとみられる。パッチを当てていない場合、ほぼ確実に侵害されている。」

なお、スキャンからブロックリスト化されているインスタンスも多く存在するため、実際の被害範囲はさらに広い可能性があります。

Ivanti はなぜ繰り返し狙われるのか

Ivanti製品の脆弱性はハッカーにとって魅力的なターゲットです。企業ネットワークへの入口として機能するため、侵害後に機密データを窃取しやすいためです。

過去の事例を振り返ると：

• CISA（米サイバーセキュリティ・インフラセキュリティ庁）がIvanti製品全体で 34件の脆弱性を「実際に悪用されている」と認定
• そのうち 12件はランサムウェア攻撃でも利用
• 政府機関を含む世界中の組織が複数のゼロデイ悪用により被害を受けた実績あり
• CISAは先月も米連邦機関に対しIvantiシステムへの緊急パッチ適用を命令

Ivantiは世界7,000社以上のパートナーネットワークを持つ大手ベンダーであり、その製品が狙われ続けているという現実は、エンタープライズ向けゲートウェイアプライアンス全体に共通するリスクとして捉えるべきです。

実務への影響——日本のIT管理者が今すぐやること

インターネットに露出したSentryインスタンスがある場合、今すぐパッチを適用してください。 「まだ被害が出ていない」という期待は禁物です。

緊急対応チェックリスト：

• バージョン確認: R10.5.2・R10.6.2・R10.7.1 以降かどうかを確認
• 露出面の確認: Sentry管理ポータルがインターネットから直接アクセス可能になっていないか確認
• 侵害痕跡の調査（IoC確認）: バックドアが仕込まれていないか、ログとシステムファイルを精査
• ネットワーク分離: パッチ適用まではインターネットからのアクセスを遮断

特に日本企業では、MobileIronブランド時代から導入されているレガシー環境も多く、バージョン管理が行き届いていないケースが散見されます。資産管理台帳との照合も合わせて実施することを強く推奨します。

筆者の見解

セキュリティが専門かと問われれば正直に「そうでもない」と答えます。ただ、こうした事例を見るたびに感じることがあります。

今回最も気になるのは、「悪用の証拠はない」という公式発表の翌日に実攻撃が確認されたという事実です。これはIvantiだけの問題ではなく、最大深刻度の脆弱性にもかかわらずPoC公開後の対応タイムラインが機能していないという、業界全体の課題を示しています。「今動いているから大丈夫」という油断が最大のリスクになる典型例です。

こうした攻撃が繰り返される背景には、インターネットに露出したゲートウェイが多すぎるという構造的な問題もあります。ゼロトラストアーキテクチャへの移行が進めば、そもそも「公開されたゲートウェイに直接アクセスできる」という前提が崩れます。VPNやゲートウェイ系製品が集中的に狙われる現状は、境界型セキュリティモデルの限界を改めて示していると感じます。

特に日本の大企業では、旧来のセキュリティモデルとゼロトラストの取り組みが混在し、どちらとも言えない状態になっているケースが目立ちます。今回のような事例を、アーキテクチャ全体を見直すきっかけとして活用してほしいと思います。

出典: この記事は Max severity Ivanti Sentry vulnerability now exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。