Ivanti Sentry にOSコマンドインジェクション(CVE-2026-10520)— 認証なしでroot権限の遠隔操作
モバイル端末管理ゲートウェイ「Ivanti Sentry」(旧MobileIron Sentry)にOSコマンドインジェクションの脆弱性。遠隔・認証なしの攻撃者がroot権限で任意コードを実行しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 10.0 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-10520
- CVSS基本値10 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- 対象(ベンダー/製品)Ivanti Sentry
- CWECWE-78
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-14(米連邦民生機関・BOD 22-01)
要点
CVE-2026-10520は、Ivanti Sentry(旧称MobileIron Sentry)に存在するOSコマンドインジェクション(CWE-78)の脆弱性だ。Sentryは、スマートフォンなどのモバイル端末と社内のメール・アプリ基盤との間に立ち、通信の中継と認証を担う「ゲートウェイ」製品である。
公開情報によれば、Sentryアプライアンスが管理外(unmanaged)の状態にある場合に、遠隔の認証されていない攻撃者がroot権限でのリモートコード実行(RCE)を達成しうる。OSコマンドインジェクションとは、本来データとして扱うべき入力が機器内部でOSのコマンドとして解釈・実行されてしまう不具合で、成立すると機器そのものを乗っ取れる。
この種の機器が危険なのは、(1)インターネットと社内の境界に置かれ外部から到達可能なこと、(2)モバイル端末と社内基盤をつなぐ要所で、侵害されると社内侵入の足がかりになること、にある。認証不要・低難易度で、影響が機器の外(scope changed)に及ぶ、最悪に近い性質を持つ。
【対応の要点】Ivanti公式アドバイザリを確認し、影響を受けるバージョンを特定して提供される修正・緩和策を適用する。CISAは連邦民生機関に2026年6月14日までの是正を義務付けており(民間にとっても実務上の目安)、境界機器ゆえ可能な限り早期の対応が望ましい。あわせて、当該機器の管理状態(managed/unmanaged)と外部公開範囲を点検し、不審なアクセスがないかログを確認する。
なぜ重要か
モバイル端末管理を境界ゲートウェイで運用する組織に影響しうる。認証不要のroot RCEは初期侵入に直結するため、資産棚卸し(どのSentryが外部公開されているか)・迅速なパッチ適用・アクセスログ点検が要点。境界機器を狙う攻撃の継続を示す。
よくある質問(FAQ)
Ivanti Sentryとは何ですか?
OSコマンドインジェクションとは?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。