Ivanti Endpoint Manager Mobile(EPMM)の重大な脆弱性を悪用する攻撃の83%が、ロシアの防弾ホスティング上の単一IPアドレスから発信されていることが、脅威インテリジェンス企業GreyNoiseの調査で明らかになりました。攻撃者は300以上のユーザーエージェントを使い分ける完全自動化された手法で、世界中の組織を標的にしています。
この記事のポイント
- Ivanti EPMMの2つの重大な脆弱性(CVE-2026-1281、CVE-2026-1340)が活発に悪用されている
- 攻撃の83%(417セッション中346件)が単一のIP「193.24.123[.]42」から発信
- 攻撃者は「スリーパーシェル」と呼ばれる休眠型バックドアを設置し、将来の攻撃に備えている
脆弱性の概要と深刻度
今回の攻撃で悪用されているのは、Ivanti Endpoint Manager Mobile(EPMM)に存在する2つのコードインジェクション脆弱性です。CVE-2026-1281およびCVE-2026-1340はともにCVSSスコア9.8(最大10.0)の最高レベルの深刻度を持ち、認証なしでリモートコード実行(RCE)が可能です。これらはEPMMの「社内アプリケーション配布」と「Androidファイル転送設定」機能に影響し、オンプレミスのEPMMインストールが攻撃対象となります。Ivanti社は2026年1月にパッチを公開しましたが、パッチ適用前にゼロデイとして悪用されていたことがCISAによって確認されています。
単一の脅威アクターが攻撃を支配
GreyNoiseの分析によると、2026年2月1日から9日の間に記録された417件の攻撃セッションのうち、実に346件(83%)が単一のIPアドレス「193.24.123[.]42」から発信されていました。このIPは、ロシア・サンクトペテルブルクに拠点を置く防弾ホスティングプロバイダー「PROSPERO OOO」(AS200593)のネットワークに属しています。PROSPEROは、Trustwave SpiderLabsの調査でProton66ネットワーク(AS198953)やロシアのサイバー犯罪フォーラムで活動する「BEARHOST」防弾サービスとの関連が指摘されており、過去にGootLoader、Matanbuchus、SpyNoteなどのマルウェア配布に利用された履歴があります。
特に注目すべきは、2月8日に単日で269セッションという急激なスパイクが発生したことです。通常の日平均約21セッションの13倍に相当し、攻撃の激化を示しています。
高度に自動化された攻撃手法
攻撃は完全に自動化されており、Chrome、Firefox、Safariの複数バージョンを含む300以上のユニークなユーザーエージェント文字列をローテーションしています。これは自動化ツールのシグネチャであり、手動攻撃ではないことを示しています。
全攻撃セッションの85%(354件)は、OAST(Out-of-band Application Security Testing)スタイルのDNSコールバックを使用して、コマンド実行の可否を検証しています。攻撃者はユニークなサブドメインへのDNSビーコンを生成し、「このターゲットは悪用可能である」ことを確認するだけで、即座にマルウェアを展開したりデータを窃取したりはしていません。この手法は「イニシャル・アクセス・ブローカー(IAB)」の典型的な行動パターンであり、脆弱なシステムをカタログ化して、後に他の攻撃者にアクセス権を販売する目的と考えられます。
「スリーパーシェル」による休眠型バックドア
セキュリティ企業Defused Cyberは、侵害されたEPMMインスタンスに「スリーパーシェル」と呼ばれる休眠型のペイロードが展開されていることを発見しました。このバックドアは/mifs/403.jspというパスにインメモリJavaクラスローダーとして設置され、特定のトリガーパラメータが送信されるまで活性化しません。これは即座の攻撃ではなく、将来のアクセスのための足がかりを確保する「段階的アクセスモデル」を示しています。
同一IPが複数の脆弱性を同時攻撃
PROSPEROのIPは、Ivanti EPMMだけでなく、同時期に複数の異なる製品の脆弱性も標的にしていました。Oracle WebLogic(CVE-2026-21962)に対して2,902セッション、GNU InetUtils telnetd(CVE-2026-24061)に497セッション、GLPI ITアセット管理(CVE-2025-24799)に200セッションが記録されています。これは大規模なインフラストラクチャを使った組織的な活動を示唆しています。
被害を受けた組織
今回の攻撃キャンペーンでは、オランダのデータ保護局、司法評議会、欧州委員会、フィンランドのValotriなど、政府機関や国際機関が標的となっていることが確認されています。MDM(モバイルデバイス管理)プラットフォームは組織内の全モバイルデバイスを制御するため、侵害された場合の影響は極めて深刻です。
知っておくと便利なTips
- ネットワークレベル: AS200593(PROSPERO OOO)をネットワーク境界でブロックする
- 検知: DNSログでOASTパターンのコールバック(高エントロピーなユニークサブドメイン)を監視する
- 侵害調査: EPMMインスタンス上で
/mifs/403.jspパスの存在を確認する - 緩和策: EPMMアプリケーションサーバーを再起動してインメモリインプラントをクリアする
- 構造的対策: EPMMのインターネットアクセスを制限し、VPN認証やネットワーク範囲制限を実装する
- パッチ適用: Ivanti社のRPMアップデートを緊急適用する(通常のパッチサイクル外での対応を推奨)
まとめ
今回のIvanti EPMM攻撃キャンペーンは、単一の脅威アクターがロシアの防弾ホスティングを利用し、完全自動化された手法で世界中の組織を標的にしているという、組織的かつ高度な攻撃の実態を浮き彫りにしました。特に注目すべきは、攻撃者が即座の破壊活動ではなく「スリーパーシェル」を通じた将来のアクセス確保を優先している点です。これはイニシャル・アクセス・ブローカーの行動パターンと一致しており、今後さらなる攻撃の波が来る可能性を示唆しています。Ivanti EPMMを利用している組織は、即座にパッチを適用し、侵害の兆候がないか徹底的に調査することが求められます。MDMプラットフォームはドメインコントローラーと同等の重要度として扱うべきです。
コメント