2026-04-13 AIニュースヘッドライン(2記事)
要点
- 管理基盤を狙う「認証不要」の脆弱性: Ivanti EPMMおよびFortiClient EMSという、企業ネットワークの中枢を担う管理サーバーにおいて、認証なしでリモートからコードを実行できる(RCE)深刻な脆弱性が相次いで発見されました。
- CVSS 9.8の極めて高い脅威: いずれの脆弱性も共通脆弱性評価システム(CVSS)で9.8という「緊急」のスコアを記録しており、インターネット経由で容易に、かつ権限なしでシステムを完全に乗っ取られるリスクがあります。
- CISA KEVへの登録と実悪用の確認: 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)がこれらを「悪用が確認済みの脆弱性カタログ(KEV)」に追加しており、理論上の脅威ではなく、現実にサイバー攻撃の道具として利用されています。
- 迅速なパッチ適用と資産管理が必須: 攻撃の「武器化」が高速化しているため、対象製品を利用している組織は、即時のアップデート実施と、パッチ適用前の侵入形跡(IoC)の確認が強く求められています。
Ivanti EPMMに潜む深刻な脆弱性「CVE-2026-1340」:認証不要でシステムが乗っ取られる仕組み
モバイルデバイス管理(MDM/EMM)の要である「Ivanti Endpoint Manager Mobile (EPMM)」に、認証不要でリモートコード実行(RCE)が可能になる深刻な脆弱性が発見されました。原因は「CWE-94(不適切なコード生成の制御)」に分類されるコードインジェクションです。これは、外部からの入力をプログラムの一部として誤って実行してしまう不備であり、攻撃者は特殊なリクエストを送るだけで、本来必要なログインプロセスを一切介さずにサーバーの制御権を奪取できます。
技術者にとっての重要性は、これが「管理者の城」への直接的な侵入を許す点にあります。MDMは全社的なデバイス設定や機密情報にアクセスできる権限を持つため、ここが突破されると組織全体のモバイル環境がサプライチェーン攻撃の標的となります。CVSSスコア9.8という数値が示す通り、攻撃条件の複雑さは低く、自動化されたスキャンツールによる無差別攻撃の対象になりやすいのが特徴です。エンジニアは単にパッチを当てるだけでなく、不審な新規アカウントの作成や異常な通信ログがないか、侵入後の痕跡(IoC)を徹底的に調査する必要があります。
参考記事: Ivanti EPMMに潜む深刻な脆弱性「CVE-2026-1340」を徹底解説:認証不要でシステムが乗っ取られる仕組みと対策
FortiClient EMSに潜む「認証不要のコード実行」脆弱性:CVE-2026-35616の技術的脅威
エンドポイント管理の中核を担う「FortiClient EMS」において、認証をバイパスして任意のコマンドを実行できる深刻な脆弱性(CVE-2026-35616)が明らかになりました。本脆弱性は「CWE-284(不適切なアクセス制御)」に起因しており、特定のコンポーネントに対する巧妙なリクエストによって、認証を必要とするはずのシステム深部へ「裏口」からアクセスできてしまうものです。結果として、攻撃者はリモートからOSコマンドの実行やマルウェアの設置が可能になります。
この脆弱性が特に危険視されるのは、セキュリティを強化するための製品自体が攻撃の踏み台になるという「セキュリティ製品のパラドックス」を突いている点です。CISAがKEVに登録し、極めて短い期限での対応を求めている事実は、既にこの「裏口」を知る攻撃者が活動していることを裏付けています。AI開発や機密データを扱うエンジニアにとって、開発環境を管理するサーバーの陥落は、学習データやモデルの流出に直結します。インフラ担当者は、最新アドバイザリに基づき対象バージョン(7.4.5, 7.4.6)を直ちにアップデートするとともに、管理サーバーへのアクセスを限定するゼロトラスト的なアプローチの再検討が必要です。
参考記事: FortiClient EMSに潜む「認証不要のコード実行」脆弱性:CVE-2026-35616の技術的脅威と対策
まとめ:セキュリティ管理基盤を標的とした攻撃の激化
今回の事例に共通するのは、組織の「信頼の起点」となる管理サーバーが、最も警戒すべき「認証不要のRCE」という脆弱性を抱えていた点です。攻撃者は脆弱性が公開されてから武器化するまでのスピードを極限まで速めており、CISA KEVへの即時登録はその切迫度を物語っています。エンジニアには、単なるソフトウェア更新を超えた、迅速な資産把握と「侵入されている可能性」を前提としたログ監査能力がこれまで以上に求められています。