チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「IvantiのEPMMが攻撃されたって、自社にも関係あるんでしゅか?」
「ゼロデイってもうパッチないってこと?」
チップスボス、IvantiのEPMMでまた重大脆弱性でしゅ……何度目でしゅか。
ボスCVE-2026-6973、限定的だが実際の被害も出ている。Ivanti製品はもう「年中緊急対応モード」と思って運用すべきだな。
2026年5月8日、Ivantiのモバイルデバイス管理製品「Endpoint Manager Mobile(EPMM)」にゼロデイ脆弱性CVE-2026-6973が発見されたと公表されました。
本記事では、脆弱性の中身、影響範囲、CISAの対応、そして日本企業で利用中の場合に取るべき対応を整理します。
このまま読み進めれば、EPMMを利用する組織が緊急で実施すべきパッチ適用と監視のポイントが分かります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
CVE-2026-6973は管理者権限を悪用するタイプの欠陥ですが、すでにゼロデイとして実環境で悪用されています。
CVE-2026-6973は、入力値の検証が不適切(improper input validation)に起因する欠陥で、認証済み管理者の権限を持つ攻撃者が脆弱なEPMMインスタンス上で任意コード実行を可能にします。
Ivanti自身が「ごく限られた顧客でCVE-2026-6973の悪用を確認している」と表明しており、ゼロデイ性が確定済みです。
影響を受けるバージョンと修正版は以下のとおりです。
| 状態 | バージョン |
|---|---|
| 影響あり | EPMM 12.8.0.0 以前 |
| 修正版(LTS系) | 12.6.1.1 |
| 修正版(中間系) | 12.7.0.1 |
| 修正版(最新系) | 12.8.0.1 |
チップスゼロデイで悪用済みって、もう待ったなしでしゅね……
米国CISAは、本脆弱性を既知悪用脆弱性(KEV)カタログに追加し、連邦民間機関に対して3日以内の修正適用を命令しました。
通常のKEV追加は2〜3週間の対応猶予が一般的なため、3日という期限はリスクの大きさを表しています。
日本企業に法的な命令は届かないものの、米国基準で「最緊急」と判定された脆弱性は、業務影響を考えれば同等のスピードで対処すべきです。
EPMMはモバイル端末管理という特性上、攻撃成功時の被害が組織全体に広がりやすい製品です。
Ivantiが提供する3つの修正バージョンのうち、自社の運用ラインに合致する最新パッチへ即時アップデートが必要です。
EPMMは管理対象端末の数が多いため、メンテナンス窓を最短で確保する社内調整が現実的なボトルネックになります。
緊急対応の手順は以下のとおりです。
本番・検証環境を含めた全EPMMインスタンスのバージョンを確認します。
運用ラインに合う修正版(12.6.1.1/12.7.0.1/12.8.0.1)を72時間以内を目標に適用します。
管理者操作ログ・APIアクセスログを保全し、不審な振る舞いがないか調査します。
すぐに本番パッチを当てられない場合は、被害を局所化する暫定対策を併用します。
暫定的に効く施策は以下のとおりです。
チップス管理画面をネットに出しっぱなしの組織もまだあるんでしゅよね……
ボスそうだ。VPN内に閉じ込めるだけで、管理者ID侵害からのRCE連鎖が一段難しくなる。基本動作だが効果は高いぞ。
CVE-2026-6973はゼロデイとして悪用が始まっており、CISAも3日以内対応を命じる重大事案です。
EPMMを業務利用する日本企業は、影響範囲確認・修正版適用・暫定対策・ログ保全の4点を即時実行する必要があります。
Ivanti製品は今後も同種の発覚が想定されるため、四半期ごとのバージョン棚卸しと、ゼロデイ即応訓練を運用に組み込みましょう。
参考:Help Net Security「Ivanti EPMM vulnerability exploited in zero-day attacks」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
