社員スマホの門番『Ivanti Sentry』乗っ取りCVE-2026-10520、無認証で陥落
会社員のスマートフォンと社内メールをつなぐ門番『Ivanti Sentry』に、パスワードなしで遠隔から乗っ取れる最も危険な欠陥(CVE-2026-10520、危険度10.0)が見つかりました。管理者を勝手に作れる別の欠陥(CVE-2026-10523)と合わせ、修正版R10.5.2/R10.6.2/R10.7.1への更新が必要です。同製品は過去にも繰り返し攻撃されてきました。対象バージョンと今すべきことを整理します。
堀川 慎
Backend Engineer / AWS / Django / Go
会社員のスマートフォンと社内メールをつなぐ門番『Ivanti Sentry』に、パスワードなしで遠隔から乗っ取れる最も危険な欠陥(CVE-2026-10520、危険度10.0)が見つかりました。管理者を勝手に作れる別の欠陥(CVE-2026-10523)と合わせ、修正版R10.5.2/R10.6.2/R10.7.1への更新が必要です。同製品は過去にも繰り返し攻撃されてきました。対象バージョンと今すべきことを整理します。
会社員のスマートフォンや社内メールへの入り口を一手に引き受ける装置に、パスワードもいらずに遠隔から丸ごと乗っ取れる欠陥(情報セキュリティ上の弱点)が見つかりました。対象はIvanti Sentry(アイバンティ・セントリー)。企業が社員の端末やメールをまとめて管理する「モバイル管理」の一部で、社内システムとスマホの間に立つ門番のような製品です。今回の弱点は共通の管理番号CVE-2026-10520として整理され、危険度の指標は10点満点中10.0という最高値が付きました。
さらに厄介なのは、同じ装置にもう一つ、本来必要なログインを飛び越えて管理者アカウントを勝手に作れる欠陥(CVE-2026-10523、危険度9.9)が同時に見つかっている点です。この2つを組み合わせれば、攻撃者は外からパスワードなしで侵入し、装置の最高権限(管理者権限。Linuxでいうroot)まで一気に奪えます。米国の脆弱性データベースNVDによれば、いずれも修正版R10.5.2/R10.6.2/R10.7.1で解消されています。
Ivantiの製品は、こうした「会社の入り口」を守るはずの装置でありながら、過去に何度も実際の攻撃に使われてきた経緯があります。Ivanti Sentry自体、2023年にもほぼ同じ型の欠陥で攻撃され、米政府の「実際に攻撃されている脆弱性リスト」に載った前科があります。この記事では、Ivanti Sentryとは何をする装置なのか、今回の2つの欠陥で何が起きるのか、どのバージョンが対象で何を直せばいいのか、そしてなぜこの製品が繰り返し狙われるのかを、専門知識がなくてもわかるように整理します。
どのバージョンが対象で、どう更新すればいいのか
まず結論です。Ivanti Sentryは、修正版であるR10.5.2・R10.6.2・R10.7.1のいずれか以降に更新すれば、今回の2件(CVE-2026-10520とCVE-2026-10523)を塞げます。NVDの情報では、それより前のバージョンがすべて影響を受けます。Ivanti Sentryは複数の系統(R10.5系・R10.6系・R10.7系)が並行して保守されているため、自分が使っている系統の修正版へ上げるのが基本です。製品の管理画面やシステム情報からバージョンを確認できます。
| 使っているバージョン | 状態 | いますべきこと |
|---|---|---|
| R10.7.1 / R10.6.2 / R10.5.2 以降 | 修正済み | 対処は不要 |
| 上記より前の R10.7 / R10.6 / R10.5系 | 影響あり | 同じ系統の 修正版へ更新 |
| さらに古い バージョン | 影響あり (保守終了の 可能性) | サポート対象の 修正版へ移行 |
注意してほしいのは、今回の弱点が突かれるのはインターネット側から到達できる管理用の入り口だという点です。Ivanti Sentryは社外のスマホと社内システムをつなぐ性質上、外向きに公開されている構成が珍しくありません。すぐに更新できない事情がある場合は、後述する応急策(管理用ポートを社外から見えないように絞るなど)を検討しつつ、できるだけ早く修正版を当ててください。最新の修正版や手順はIvanti公式のセキュリティ情報で確認できます。
Ivanti Sentryとは何をする装置で、何が起きるのか
Ivanti Sentryは、もとは「MobileIron Sentry」と呼ばれていた製品で、企業が社員のスマートフォンやタブレットを一括管理する仕組み(モバイルデバイス管理、MDM)の一部です。役割をひとことで言えば門番です。社員のスマホが社内メール(Exchange)や社内の文書システムにアクセスするとき、その通信はいったんこのSentryを通り、「この端末は会社が許可したものか」を確認してから中へ通します。だからこそ、ここを乗っ取られると会社のメールと社内システムへの通り道そのものを握られることになります。
今回見つかった2件は、性質の異なる2つの弱点です。それぞれを見ていきます。
CVE-2026-10520:パスワード不要でサーバを乗っ取れる(危険度10.0)
本命はこちらです。外部からSentryに細工した通信を送り込むと、装置の中で攻撃者の命令がそのまま実行されてしまう欠陥です。技術的な分類は「OSコマンドインジェクション(CWE-78)」。本来は装置の内部処理にしか使われないはずの入力欄に、攻撃者がOSへの命令を紛れ込ませ、装置側がそれを区別せず実行してしまう、という仕組みです。NVDの評価では、攻撃にログイン(認証)は不要、特別な権限も要らず、利用者の操作も介さずに、装置の最高権限(root)で命令を動かせるとされ、危険度は最高値の10.0が付いています。情報を盗む・改ざんする・装置を止める、その全部が可能になる「乗っ取り」型です。
CVE-2026-10523:ログインを飛び越えて管理者を勝手に作れる(危険度9.9)
もう一つは、本来通すべき認証の確認をすり抜けて、攻撃者が自分用の管理者アカウントを作り出せる欠陥です。分類は「認証回避(CWE-288)」。いったん管理者アカウントができてしまえば、攻撃者は正規の管理者になりすまして堂々と設定を変えられます。危険度は9.9。CVE-2026-10520が「裏口から忍び込んで命令を実行する穴」だとすれば、こちらは「正面玄関の鍵を勝手に作って合鍵で入る穴」です。どちらか一方でも深刻ですが、2つがそろうと、侵入から居座りまでが一本の流れでつながってしまうのがこの組み合わせの怖さです。
この門番を、どんな人が、何のために狙うのか
「自社で社員のスマホ管理なんて大層なものは使っていない」と感じた人もいるかもしれません。けれど、この装置を使っているのは大企業・官公庁・医療機関・金融といった、守るべき情報をたくさん抱えた組織です。そして攻撃者から見れば、Ivanti Sentryは「社員全員のスマホと社内メールへの通り道が、たった1台に集まっている」という、これ以上ないほど効率のいい標的に映ります。危険度10.0という数字の本当の意味は、ここにあります。
狙ってくるのは抽象的な「ハッカー」ではありません。具体的には、企業ネットワークへの入り口だけを盗み、その侵入経路を裏で売りさばく初期アクセス業者、社内に居座ってデータを暗号化し身代金を要求するランサムウェアの一味、機密情報や役員のやり取りを長期間こっそり抜き取りたい国家支援のスパイ集団、そして手早く稼ぐために他人のサーバで仮想通貨を掘る連中です。彼らが欲しがるのは、社内メールの中身、社員の認証情報、取引先とのやり取り、そして「ここを足がかりに社内の奥へ進む」ための最初の一歩です。CVE-2026-10520とCVE-2026-10523を続けて踏ませた瞬間、門番だったはずの装置は攻撃者の操り人形に変わり、その先にある会社のメールと社内システムへの扉が内側から開け放たれます。
この手の「境界に置かれた装置」が狙われるのには理由があります。インターネットに面しているので外から直接たどり着け、しかも社内ネットワークの内側に片足を置いているため、ここを取れば外と中をつなぐ橋を手に入れたことになるからです。一度侵入されると、攻撃者は内部の偵察を始め、別のサーバへ横移動し、最終的にはランサムウェアの一斉展開や大規模な情報持ち出しへとつなげます。実際、2023年にIvanti Sentryが攻撃されたときも、侵入後に内部偵察ツールや仮想通貨の採掘ツールが投下され、初期アクセス業者の関与が疑われたと報告されています。今回の2件は、その2023年の事案よりさらに危険度が高い組み合わせです。
そして、止められた業務と漏れた情報の後始末を背負うのは、その装置を運用する情報システム部門と、その会社の利用者です。役員や社員のメールが丸ごと外に出る、取引先に被害が連鎖する、復旧と原因調査に何週間も追われる、監督官庁や顧客への説明と謝罪が続く——危険度10.0という指標が示すのは技術的な深刻さの最高値にすぎず、その装置を入り口にして会社が現実に失うものは、これだけ広く、長く尾を引きます。修正版が出ているいま当てられるかどうかが、踏まれる側になるかどうかの分かれ目です。
なぜIvantiの装置は繰り返し狙われるのか
今回の件が「またか」と受け止められているのには背景があります。Ivantiが手がけるVPNやモバイル管理といった「会社の境界を守る装置」は、ここ数年、攻撃者にとって最優先の標的であり続けてきました。Ivanti Sentryそのものも例外ではありません。2023年には認証を回避して命令を実行できる欠陥(CVE-2023-38035)が実際の攻撃に使われ、米国土安全保障省のCISAが運営する「実際に攻撃されている脆弱性リスト(KEV)」に同年8月に登録されました。侵入後には仮想通貨の採掘ツール(Kinsing)や内部偵察ツールが投下されたと報告されています。
2026年に入ってからも、同じIvantiのモバイル管理製品EPMMで、修正前から攻撃に使われていた未知の欠陥(CVE-2026-1281/CVE-2026-1340)が1月に確認され、Palo Alto NetworksのUnit42が実際の悪用を分析しています。5月にも別のEPMMの欠陥(CVE-2026-6973)がKEVに追加されました。つまりIvantiの境界装置は、新しい欠陥が出るたびに短期間で攻撃へ転用される、という流れが定着しています。今回のCVE-2026-10520/10523は公開時点でKEVには未登録で、広範な悪用報告もまだ確認できていませんが、この実績を踏まえれば「様子を見る」という選択は危険です。過去の例では、欠陥の公開から実際の攻撃までの猶予は長くありませんでした。
公開から対応までの流れ
Ivanti Sentryをめぐる「同じ場所が繰り返し破られる」流れを、2023年の事案も含めて時系列で整理します。今回の2件は、その延長線上にあります。
← スワイプで移動
いまの危険度をどう見るか
✓ 確認済みの事実
? 現時点で未確認のこと
- ?今回の2件が実際の攻撃に使われた事例 ― 本記事時点で広範な悪用報告は確認できておらず、米CISAの「実際に攻撃されている脆弱性リスト(KEV)」にも未登録
- ?実証コード(PoC)の公開状況 ― 公開時点で広く出回っているとの確認はできていない。ただしIvanti製品は過去、公開から短期間で攻撃へ転用されてきた
冷静に整理すると、今回の2件は公開直後で、まだ広範な悪用は確認されていません。一方で、無認証で・遠隔から・最高権限を奪えて・標的が情報を多く抱える組織という条件は、攻撃のうまみが極めて大きいことを意味します。しかもIvantiの境界装置は、過去に何度も「欠陥の公開からすぐに実際の攻撃へ」という道をたどってきました。悪用が始まってから慌てるより、修正版が出ているいま当ててしまうのが、最も安く確実な選択です。
いま何をすればいいのか
Ivanti Sentryを運用している場合にやるべきことは、更新を中心に次のとおりです。
- 使っているSentryのバージョンと系統(R10.5/R10.6/R10.7系)を確認し、R10.5.2/R10.6.2/R10.7.1より前なら対象と判断する
- 自分の系統に対応する修正版へできるだけ早く更新する。手順はIvanti公式のセキュリティ情報で確認する
- すぐに更新できない場合の応急策として、管理用の入り口(管理ポータル)をインターネットから直接見えないように制限し、社内や特定の拠点からだけ届くよう絞る
- 不正な管理者アカウントが作られていないか、管理者一覧と最近のログイン履歴・設定変更の記録を確認する
- 身に覚えのない通信や設定変更、外部への不審な接続がないか、装置のログと通信を点検する。侵入の痕跡があれば、更新だけでなく作り直しと認証情報の入れ替えも検討する
特に、インターネットに直接面した状態でSentryを運用している組織は、優先度を上げて対応してください。今回の攻撃は外から到達できる入り口に細工した通信を送るだけで成立するため、公開状態を放置するほどリスクが高まります。すでに侵入されていた場合は更新だけでは取り除けないことがあるため、不審な点があれば「更新して終わり」にせず、痕跡の調査までセットで行うのが安全です。
よくある質問
Q. うちは社員のスマホ管理にIvantiを使っていません。関係ありますか。
直接の対象はIvanti Sentry(旧MobileIron Sentry)を運用している組織です。使っていなければ今回の2件の影響は受けません。ただし取引先や委託先がこの装置を使っている場合、そこ経由で間接的に影響が及ぶことはあり得ます。自社が使っているかどうかは、情報システム部門やモバイル管理の担当に確認してください。
Q. 危険度10.0とは、どれくらい危ないのですか。
脆弱性の深刻さを示す国際的な指標(CVSS)の最高値です。CVE-2026-10520は、攻撃にログインも特別な権限も利用者の操作も要らず、成功すると装置の最高権限まで奪える、という最悪に近い条件がそろっているため10.0が付いています。ただし「実際に攻撃されているか」は別の話で、本記事時点では広範な悪用は確認されていません。とはいえ条件の悪さから、早急な更新が必要です。
Q. 更新すれば、もう安心ですか。
修正版(R10.5.2/R10.6.2/R10.7.1以降)に上げれば、今回の2件は塞げます。ただし更新前にすでに侵入されていた場合、攻撃者が作った管理者アカウントや仕掛けは更新だけでは消えないことがあります。不審な管理者やログ、設定変更がないかを点検し、痕跡があれば作り直しや認証情報の入れ替えまで行ってください。
Q. なぜIvantiの製品ばかり狙われるのですか。
VPNやモバイル管理のように「社内と社外の境界」に置かれる装置は、インターネットから直接たどり着けるうえ、社内ネットワークの内側にも足をかけているため、攻撃者にとって価値の高い入り口になります。Ivanti製品は企業や官公庁での導入が多く、こうした境界装置を多く手がけているため、結果として狙われやすい状況が続いています。
まとめ
CVE-2026-10520は、社員のスマホと社内メール・社内システムをつなぐ門番「Ivanti Sentry」を、パスワードなしで遠隔から乗っ取れる危険度10.0の欠陥です。これに、認証を回避して管理者を勝手に作れるCVE-2026-10523(9.9)が加わり、2つを組み合わせると侵入から居座りまでが一本でつながります。NVDによれば、いずれも修正版R10.5.2/R10.6.2/R10.7.1で解消されています。
この製品は2023年にも同じ型の欠陥で実際に攻撃され、Ivantiの境界装置は欠陥の公開から短期間で悪用される流れが続いてきました。今回の2件は公開直後で広範な悪用はまだ確認されていませんが、条件の悪さと過去の実績を考えれば「様子を見る」のは危険です。Ivanti Sentryを運用している組織は、自分の系統に合う修正版へ早めに更新し、不正な管理者アカウントや侵入の痕跡がないかをあわせて点検してください。会社のメールと社内システムへの入り口を任せている装置だからこそ、後回しにするには重すぎる一件でございます。
参照元
- ▸NVD - CVE-2026-10520(Ivanti Sentry OSコマンドインジェクション、CVSS 10.0)
- ▸NVD - CVE-2026-10523(Ivanti Sentry 認証回避、CVSS 9.9)
- ▸Ivanti - セキュリティアドバイザリ(公式)
- ▸Darktrace - Ivanti Sentry(CVE-2023-38035)の悪用分析
- ▸The Hacker News - Ivanti EPMMのゼロデイ(CVE-2026-1281/1340)
- ▸Palo Alto Networks Unit42 - Ivanti EPMMの悪用分析
- ▸CWE-78: OSコマンドインジェクション / CWE-288: 代替経路による認証回避