概要
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)に存在する重大なコードインジェクション脆弱性CVE-2026-1340を「既知の悪用された脆弱性(KEV)カタログ」に追加した。これに伴い、Binding Operational Directive(BOD)22-01に基づき、連邦文民機関に対して2026年4月11日(土曜日)深夜までのパッチ適用を義務付けた。わずか4日間という異例の短い期限が設定されており、脆弱性の深刻さを示している。
CISAはこのタイプの脆弱性を「頻繁な攻撃ベクター」と位置付け、連邦インフラに対する重大なリスクをもたらすと警告している。対応義務は連邦機関に限定されるが、CISAは民間企業を含むすべての組織に対しても優先的なパッチ適用を強く推奨している。
技術的な詳細
CVE-2026-1340は認証不要でリモートコード実行(RCE)が可能な重大(Critical)なコードインジェクション欠陥であり、2026年1月から実際の攻撃への悪用が確認されている。悪用事例としては、Webシェルの設置やクリプトマイナーのインストールなどが報告されている。Ivantiは2026年1月29日に本脆弱性および関連脆弱性CVE-2026-1281を修正するセキュリティアップデートをリリース済みである。
インターネット監視機関のShadowserverの調査によると、世界全体でおよそ950台の脆弱なEPMMデバイスがインターネットに露出していることが確認されており、そのうちヨーロッパが569台、北米が206台を占める。パッチ未適用のデバイスは引き続き攻撃対象となるリスクが高く、早急な対応が求められる。
Ivantiの脆弱性問題の背景
Ivantiはグローバルで40,000社以上の顧客を持つ大手エンタープライズソフトウェアベンダーだが、近年は深刻な脆弱性問題が相次いでいる。CISAが追跡するIvantiの文書化された悪用済み脆弱性はすでに33件に上り、そのうち12件はランサムウェアオペレーションに関連している。今回のCVE-2026-1340の追加は、Ivantiが継続的なセキュリティリスクの発生源となっている現状をあらためて浮き彫りにしている。組織はIvanti製品のパッチ管理を優先的な課題として位置付け、迅速なアップデート体制を整えることが急務となっている。