企業のモバイルデバイス管理に広く使われているIvanti Endpoint Manager Mobile(EPMM)に、深刻なセキュリティ脆弱性が見つかった。しかも、攻撃者はすでにこの脆弱性を悪用し、従来とは異なる巧妙な手法でバックドアを設置していることが判明している。
Ivanti EPMMの脆弱性とは
2026年2月にIvantiが公開した脆弱性はCVE-2026-1281とCVE-2026-1340の2つ。いずれも認証バイパスとリモートコード実行を可能にする深刻なもので、攻撃者は認証なしでシステムにアクセスできてしまう。
影響を受けるパッケージは異なるが、実質的な結果は同じだ。つまり、外部からアプリケーションレベルのエンドポイントに不正アクセスが可能になる。
「スリーパーシェル」という新手法
セキュリティ企業DefusedCyberの調査によると、2026年2月4日から新たな攻撃キャンペーンが確認された。従来の攻撃では脆弱性を突いた後、すぐにWebシェルを設置して情報を窃取するパターンが一般的だった。
しかし今回の攻撃者は、ペイロードをアップロードして着弾を確認した後、そのまま放置している。コマンドの実行も、データの窃取も行わない。
設置されたのは「403.jsp」というパスに配置されたインメモリJavaクラスローダーで、特定のトリガーパラメータを送信しない限り起動しない仕組みになっている。まさに「眠れるバックドア(スリーパーシェル)」だ。
初期アクセスブローカーの可能性
この手法は「初期アクセスブローカー(IAB)」と呼ばれる攻撃者の典型的なやり方だと指摘されている。IABは企業ネットワークへの侵入口を確保した後、そのアクセス権をダークウェブ上で他の攻撃グループに売却する。
つまり、今回の攻撃は即座にデータを盗むことが目的ではなく、将来的にランサムウェア攻撃や情報窃取に使うための「足がかり」を作っている段階だと考えられる。
対策はパッチ適用だけでは不十分
Ivantiはすでにセキュリティアドバイザリを公開し、パッチの適用を推奨している。しかし、パッチを当てただけでは不十分だ。すでにバックドアが設置されている可能性があるため、以下の対策が必要になる。
- 403.jspなど不審なファイルの有無を確認する
- Webサーバーのアクセスログを過去数週間分さかのぼって精査する
- EPMMサーバーのメモリダンプを取得し、不正なクラスローダーの痕跡を調査する
- 可能であれば、クリーンな状態からEPMMを再構築する
企業が今すぐやるべきこと
Ivanti EPMMを利用している企業は、速やかにパッチを適用するとともに、すでに侵害されていないかの調査を行うべきだ。特に政府機関や大企業はIABの主要なターゲットになりやすい。
「パッチを当てたから安心」ではなく、「すでに侵入されている前提で調査する」という姿勢が求められている。ゼロトラストの考え方を改めて実践するタイミングだろう。
まとめ
Ivanti EPMMの脆弱性を悪用した「スリーパーシェル」攻撃は、従来の即時攻撃型とは異なる新たな脅威だ。攻撃者がアクセス権を温存し、後から本格的な攻撃を仕掛ける可能性がある。パッチ適用と侵害調査を早急に実施することが重要だ。