信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
Ivanti EPMM CVE-2026-6973——管理者権限があればRCEが成立するゼロデイがCISA KEV入り、悪用は現在進行中
Ivanti EPMM(旧MobileIron Core)のCVE-2026-6973は認証済み管理者によるRCEを許す入力バリデーション不備。CVSS 7.2・CISA KEV登録・連邦機関の期限は5月10日。12.6.1.1/12.7.0.1/12.8.0.1へのアップグレードとクレデンシャルのローテーションが急務。
一言結論
CVE-2026-6973はIvanti EPMMの入力バリデーション不備により、認証済み管理者権限でリモートコード実行が可能になる脆弱性。CVSS 7.2・CISA KEV登録済みで連邦機関の修正期限は2026年5月10日。12.6.1.1・12.7.0.1・12.8.0.1にアップグレードし、管理者クレデンシャルをローテーションすることが急務だ。
何が起きたか
2026年5月初旬、Ivantiが Ivanti EPMM(Enterprise Mobility Management、旧MobileIron Core) のゼロデイ脆弱性を公開した。
CVE-2026-6973——認証済み管理者によるリモートコード実行(Authenticated Admin RCE) だ。
CVE: CVE-2026-6973
CVSS: 7.2(High)
種別: 不適切な入力バリデーション(Improper Input Validation)
影響製品: Ivanti EPMM(旧MobileIron Core)
影響バージョン: 12.6.1.1未満 / 12.7.0.1未満 / 12.8.0.1未満
悪用状況: 限定的な野放し悪用を確認(Ivantiが公式確認)
CISA KEV: 登録済み(連邦機関の修正期限: 2026年5月10日)Ivantiは「非常に限られた数の顧客がCVE-2026-6973で悪用されていることを把握している」と公式声明で述べている。
脆弱性の仕組み
「管理者認証が必要」は安全を意味しない
本脆弱性の悪用には管理者認証が必要だ。しかし、これは緩和要因として過大評価してはいけない。
攻撃フロー(概要):
1. 攻撃者がEPMM管理者クレデンシャルを取得
(過去の侵害・フィッシング・クレデンシャルスタッフィング等)
2. EPMMの管理者APIに特殊に細工した入力を送信
3. 入力バリデーションの迂回 → RCE成功
4. EPMMサーバー上でコード実行 → 管理対象MDMデバイス全体に影響Ivantiのシステムはこれまでに何度も認証前後の重大な脆弱性が発見されており(後述)、攻撃者グループがEPMM装置への管理者アクセスを目的とした専用ツールやクレデンシャルを既に保持している可能性は十分にある。
EPMM(旧MobileIron Core)が狙われる理由
EPMMはモバイルデバイス管理(MDM)のプラットフォームで、大企業・政府機関が管理下のデバイスすべてを制御するために使う。EPMMサーバーへのRCEが成功した場合の影響範囲は広大だ:
EPMMサーバー侵害時の影響範囲:
- 管理対象の全モバイルデバイス(スマートフォン・タブレット)
- MDMプロファイルの改ざん・悪意あるプロファイルの展開
- 企業メール/WiFi/VPNプロファイルの窃取
- デバイスロック・ワイプコマンドの悪用
- 証明書・秘密鍵へのアクセスMDM基盤は侵害されると組織全体への横展開の起点になるため、国家系APTや高度なランサムウェアグループが好むターゲットだ。
影響を受けるバージョンと修正版
| ブランチ | 影響バージョン | 修正バージョン |
|---|---|---|
| 12.6系 | 12.6.1.1未満 | 12.6.1.1 |
| 12.7系 | 12.7.0.1未満 | 12.7.0.1 |
| 12.8系 | 12.8.0.1未満 | 12.8.0.1 |
12.5以前のバージョンはサポート外 であり、修正パッチは提供されない。古いバージョンを使っている場合は最新サポートブランチへの移行が必要だ。
今すぐすること
優先度1: バージョン確認とアップグレード
# EPMMの現在のバージョン確認
# 管理コンソール → ヘルプ → バージョン情報
# 修正バージョンへのアップグレード
# Ivanti公式のアップグレードドキュメントに従うこと
# https://forums.ivanti.com/s/優先度2: 管理者クレデンシャルのローテーション
過去にEPMMが何らかの不審な活動を見せた、または他のIvanti脆弱性の影響を受けた可能性がある場合は、全EPMMローカル管理者アカウントのパスワードをリセットする。
確認チェックリスト:
□ EPMMのローカル管理者パスワードは直近3ヶ月以内に変更したか?
□ AD/LDAP連携の管理者アカウントにMFAが有効か?
□ EPMMの管理UIへのアクセスはVPNまたは内部ネットワーク限定か?
□ 過去のEPMM脆弱性(CVE-2023-35078等)への対応は完了しているか?
□ EPMMの管理コンソールはインターネットに直接公開されていないか?優先度3: 侵害の痕跡確認
Ivantiが悪用を認識している以上、アップグレード前後に以下を確認する:
確認すべき指標:
- 予期しない管理者ログイン(異常な時間帯・IPアドレス)
- 新規MDMプロファイルの作成・配布
- EPMMサービスプロセスからの不審なネットワーク通信
- 予期しないコマンド実行ログ(system.logやaudit.log)
- デバイスへの予期しない設定変更Ivantiの繰り返す脆弱性サイクル
CVE-2026-6973は孤立した事件ではない。Ivanti EPMMは過去に以下の重大な脆弱性を繰り返し経験している:
| 年 | CVE | 内容 | CVSS |
|---|---|---|---|
| 2023 | CVE-2023-35078 | 未認証APIアクセス → 個人情報漏洩/RCE | 10.0 |
| 2024 | CVE-2024-21887 | 認証済みコマンドインジェクション | 9.1 |
| 2026 | CVE-2026-6973 | 認証済み管理者RCE | 7.2 |
この繰り返しのパターンは、EPMMのコードベースに構造的な問題が残存していることを示唆する。短期的なパッチ適用に加えて、長期的なリスク評価としてIvanti製品への依存度を見直すことも経営・セキュリティ判断の選択肢に入れるべきだ。
開発者・インフラ担当者への示唆
EPMMを直接運用しない立場の開発者にとっても、MDMとAPIセキュリティの観点で学べることがある:
ゼロトラストの実践:
- MDM経由で展開されたアプリが「信頼できる端末」からのリクエストであっても
バックエンドAPIで認証を再検証する
- MDMプロファイルに基づいた信頼は、MDMサーバー自体の侵害で崩れる
→ APIゲートウェイレベルで多層認証を実装すること
認証済み操作でのRCEリスク:
- 管理者UIや管理者APIのリクエストは入力を「信頼」せず、
同様の厳格なバリデーションを適用する
- 管理者の入力でも、パラメータインジェクションは成立しうるまとめ・参考リンク
CVE-2026-6973はIvanti EPMMの認証済みRCEで、CISA KEVに登録・連邦機関の期限は2026年5月10日(昨日)だ。EPMMを使う組織は即時に修正バージョンへのアップグレードと管理者クレデンシャルのローテーションを実施すること。
参考リンク:
- Ivanti May 2026 EPMM Security Update - Ivanti公式ブログ
- CVE-2026-6973: Authenticated Admin RCE In Ivanti EPMM Added to CISA KEV - SOCRadar
- Ivanti EPMM CVE-2026-6973 RCE Under Active Exploitation - The Hacker News
- Ivanti EPMM 0-Day Vulnerability Actively Exploited - Cybersecurity News
- CISA Known Exploited Vulnerabilities Catalog
注意事項: 悪用の規模(「非常に限られた数の顧客」)はIvanti公式発表に基づく。Ivantiのセキュリティアドバイザリを定期的に確認し、最新の修正状況を把握すること。