Ivanti EPMMに入力検証の脆弱性(CVE-2026-6973)— 認証済み管理者による遠隔コード実行
モバイル端末管理製品「Ivanti Endpoint Manager Mobile (EPMM)」に入力検証不備の脆弱性。管理者権限を持つ遠隔の認証済みユーザーが遠隔コード実行(RCE)を達成できる。CISAは悪用確認済み(KEV)として掲載(CVSS 7.2 High)。
脆弱性の基本情報
- CVE番号CVE-2026-6973
- CVSS基本値7.2 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Ivanti Endpoint Manager Mobile (EPMM)
- CWECWE-20
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-05-10(米連邦民生機関・BOD 22-01)
要点
CVE-2026-6973は、Ivanti Endpoint Manager Mobile (EPMM)(企業のモバイル端末を管理するMDM/EMM製品。旧称MobileIron Core)に存在する不適切な入力検証(CWE-20)の脆弱性だ。CISAのKEVカタログに2026年5月7日付で追加された。
NVDの説明によれば、管理者アクセスを持つ遠隔の認証済みユーザーが、この脆弱性を悪用して遠隔コード実行(RCE)を達成できる。攻撃の前提として認証と管理者権限が必要なため、認証不要の脆弱性に比べると条件は厳しい。ただし、EPMMのような管理基盤は組織内の多数のモバイル端末を統制する要であり、ここでコード実行を許すと影響は大きい。
Ivanti製品(EPMM/旧MobileIron、Connect Secure等)は近年、KEVに繰り返し掲載されており、攻撃者に狙われやすい資産であることがうかがえる。認証が必要とはいえ、認証情報の窃取や内部者・委託先経由のリスクを考えると、悪用確認済みのKEV掲載は迅速な対応を促すものだ。
【対応の要点】Ivanti公式の指示に従って修正・緩和策を適用する。クラウド利用時はBOD 22-01に準拠し、緩和策がなければ使用中止も検討する。管理コンソールの公開範囲の最小化と管理者アカウントの保護も有効だ。連邦民生機関の是正期限は2026年5月10日。
なぜ重要か
モバイル管理基盤(EPMM)のRCEで、認証は要るものの影響が大きい。Ivanti製品は繰り返しKEV入りしており、利用組織はパッチ運用の徹底、管理コンソールの公開最小化、認証情報の保護が要点。
よくある質問(FAQ)
EPMMとは何ですか?
認証が必要なら危険度は低いのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。