【緊急】Ivanti Sentryに重大な欠陥!CVE-2026-10520の原因・危険性・今すぐできるパッチ対応を初心者向けに解説

【緊急】Ivanti Sentryに重大な欠陥!CVE-2026-10520の原因・危険性・今すぐできるパッチ対応を初心者向けに解説 セキュリティ
【緊急】Ivanti Sentryに重大な欠陥!CVE-2026-10520の原因・危険性・今すぐできるパッチ対応を初心者向けに解説

「会社のシステム担当からIvanti Sentryに重大な欠陥があると言われたけど、何をすればいいか分からない…」「ニュースでCISAの緊急指令を見たけど、うちの会社は大丈夫?」

そんな不安や焦りを感じているあなた、まず深呼吸してください。対処法はあります。

2026年6月9日、企業のモバイルセキュリティを支える製品「Ivanti Sentry(アイバンティ・セントリー)」に、最高危険度の欠陥(セキュリティ上の穴) が発見されました。悪用されると、外部の攻撃者にシステムを丸ごと乗っ取られる危険があります。さらに米国の政府機関「CISA(シーサ)」は6月14日を期限とする緊急パッチ(修正プログラム)適用命令を発令しており、世界中で対応が急がれています。

この記事では、

  • この欠陥の「何が」「なぜ」危険なのか
  • 今すぐできる対処法 を順番に解説
  • すでに修正プログラムは出ているか(答え:はい、出ています)

を、なるべく難しい言葉を使わずに説明します。担当者の方も、初めて聞く方も、落ち着いて一緒に確認しましょう。

今起きている問題・欠陥の具体的な内容

Ivanti Sentryって何をする製品?

Ivanti Sentryは、会社のスマートフォンやタブレットなどのモバイル端末が、社内のシステム(メールサーバーや社内アプリなど)に安全に接続するための「入口番」の役割を担う機器です。旧称「MobileIron Sentry(モバイルアイアン・セントリー)」とも呼ばれ、世界4万社以上が業務で活用しています。

この「入口番」が攻撃を受けると、攻撃者は社内ネットワークに直接侵入できてしまいます。

今回発見された欠陥の内容をかんたんに説明すると

今回の欠陥は「CVE-2026-10520(シーブイイー-2026-10520)」という識別番号で管理されています。危険度は最高の「CVSS 10.0(満点)」と評価されており、これは「今すぐ対処しなければならない最も深刻な欠陥」であることを意味します。

この欠陥を一言で表すと、「合言葉なしで、システムの管理者(最高責任者)になりきれてしまう穴」 です。

もう少し具体的に言うと:

  • 誰でも攻撃できる(認証不要): 攻撃者はパスワードやIDを一切持っていなくてもよい
  • インターネット経由で実行できる: 会社のオフィスに物理的に侵入する必要がない、遠隔での攻撃が可能
  • 最高権限を取得される: 攻撃者が得る権限は「root(ルート)」と呼ばれるシステムの最高管理者権限であり、何でも自由にできてしまう

さらに同日、もう1つの欠陥「CVE-2026-10523(CVSS 9.9)」も発見されています。こちらは無断で管理者アカウントを勝手に作られてしまう欠陥で、攻撃者がシステムの管理画面に完全アクセスできるようになります。

今すでに実際の攻撃が起きている

この欠陥は、「概念実証コード(PoC)」と呼ばれる「攻撃手順書」がインターネット上にすでに公開されており、2026年6月10日の公開からわずか40時間以内に実際の攻撃が観測されています。

非営利のセキュリティ監視機関「Shadowserver(シャドウサーバー)」は、インターネット上に公開されたまま欠陥が放置されているSentryのうち、少なくとも2台にはすでに不正なプログラム(バックドア)が仕込まれていると警告しています。さらに同機関は「パッチを当てていないシステムはすでに侵害されている可能性が高い」とも述べています。

影響を受けるバージョン

以下のバージョンをお使いの場合は今すぐ対応が必要です:

対象バージョン修正済みバージョン
10.5.1 以前10.5.2 以降 にアップデートが必要
10.6.1 以前10.6.2 以降 にアップデートが必要
10.7.0 以前10.7.1 以降 にアップデートが必要

CISAの「3日間以内に修正せよ」という特別命令とは

米国政府のサイバーセキュリティ機関「CISA」は、2026年6月10日に新しいルール「BOD 26-04(ビーオーディー 26-04)」を定めました。このルールは「特に危険な欠陥はより短い期間で修正せよ」というものです。

本欠陥(CVE-2026-10520)は2026年6月11日にCISAの「既知の悪用された脆弱性(KEV)リスト」に追加され、2026年6月14日(日曜日)を期限とした緊急対処命令が連邦政府機関などに出されました。

日本の企業や個人にとっては直接の義務ではありませんが、これだけ危険な欠陥であるということを示す強力なシグナルです。政府機関でなくても、Ivanti Sentryを使っているすべての組織で早急な対応が強く推奨されています。

今すぐ試せる!具体的な対策と手順

この欠陥への対処は「修正プログラム(パッチ)の適用」で解決できます。修正版はすでにIvantiから公開されています。 ただし手順を間違えると危険が増す場合もあるため、以下の順番で進めてください。

対策1:まず「侵入されていないか」を確認する(必ず最初にやること)

パッチを当てる前に、すでに攻撃者が侵入していないかを確認することが非常に重要です。なぜなら、パッチを当てるだけでは、すでに仕込まれた不正プログラムは消えないからです。

担当のシステム管理者(またはITベンダー)に次の確認を依頼してください:

  1. 不審なログイン記録がないか確認する  Sentryの管理画面や記録ファイル(ログ)の中に、見覚えのないIPアドレス(インターネット上の住所)からのアクセスがないか確認します
  2. 特定の場所へのアクセス記録を確認する  /mics/api/v2/sentry/mics-config/handleMessage というURLに対して、外部から不審なアクセスがなかったかを記録ファイルで調べます(担当者向けの具体的な確認箇所です)
  3. 見覚えのない管理者アカウントがないか確認する  管理画面の「管理者一覧」を開き、自分たちが作った覚えのない見知らぬアカウントが増えていないかチェックします
  4. 上記で不審な点が見つかった場合は、修正より先にセキュリティ専門家に相談する  パッチ適用より先にインシデント対応(被害を最小限に抑える措置)を進める必要があります

対策2:修正プログラム(パッチ)をすぐに適用する

侵害がないことを確認したら、以下の手順でIvanti Sentryをアップデートします。

  1. 現在のSentryのバージョンを確認する  管理画面にログインし、設定メニューやシステム情報のページで現在のバージョン番号を確認します
  2. Ivantiの公式サポートポータルにアクセスする  以下の公式URLから最新の修正バージョンをダウンロードします  → https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry  または、Ivantiのサポートポータル(https://www.ivanti.com/support/product-documentation)へログインして最新版を入手します
  3. お使いのバージョンに合った修正版をダウンロードする  以下の対応表を参考に、適切なバージョンを選んでください:
    • 10.5.x系をお使いなら → 10.5.2
    • 10.6.x系をお使いなら → 10.6.2
    • 10.7.x系をお使いなら → 10.7.1
  4. アップデートを適用する前にバックアップ(データの控え)を取る  万が一に備えて、設定情報のバックアップを必ず取っておきます
  5. 公式の手順書に沿ってパッチを適用する  Ivantiの公式ドキュメントに従い、アップデート作業を実施します
  6. アップデート後に動作を確認する  モバイル端末から社内システムへの接続が正常に行えるかテストします

⚠️ 重要なポイント: パッチの適用は、通常の定期メンテナンスとして後回しにせず、今すぐ優先して実施することが強く推奨されています。

対策3:アクセスをネットワーク的に制限する(被害を最小限にする応急措置)

パッチの適用が完了するまでの間、または並行して、以下の対策も取ってください。

  1. Sentryの管理ポート(8443番)をインターネットから遮断する  ファイアウォール(外部からの不正なアクセスを遮断する仕組み)の設定で、ポート8443番への外部からのアクセスを制限します
  2. 管理インターフェース(管理画面)を社内ネットワーク専用にする  管理操作は、会社の信頼できる内部ネットワークからのみ許可するよう設定を変更します
  3. Ivanti Sentryがインターネットに直接つながっていないか確認する  「インターネットから直接Sentryに接続できる状態」は最も危険です。ファイアウォールやVPNを経由する構成に変更することを検討してください

公式のアップデートで直る?現在の対応状況

これはユーザー側の問題?それともシステム側?

Ivanti製品自体のセキュリティ欠陥が原因です。 ユーザーや管理者の操作ミスでは一切ありません。Ivanti社がこの欠陥を認め、修正プログラムを公開しています。

修正プログラムはすでに配信されている?

はい、配信済みです。 Ivantiは2026年6月9日に修正版(10.5.2 / 10.6.2 / 10.7.1)をリリースしています。今すぐアップデートができる状態です。

現在の状況まとめ

日付出来事
2026年6月9日Ivantiが欠陥を公表し、修正版をリリース
2026年6月10日セキュリティ研究者が攻撃手順書(PoC)を公開
2026年6月11日CISAが「既知の悪用リスト(KEV)」に追加。実際の攻撃を観測
2026年6月11日CISAが新指令「BOD 26-04」のもとで6月14日を期限とする緊急命令を発令
2026年6月12日〜Shadowserverが大量の攻撃試行と、バックドア設置済みの機器を確認
2026年6月14日CISAが定めた連邦政府機関向けの対処期限(本日が期限)

Ivantiのセキュリティ状況について

Ivantiの製品は、過去数年にわたって複数の深刻な欠陥が発見されてきた製品です。セキュリティ専門家はIvanti製品全体のアップデート状況を常に注意深く管理することを推奨しています。自動更新の設定や、定期的なバージョン確認の仕組みを整えておくと安心です。

まとめ

今回の問題を整理します。

  • 何が起きた? → Ivanti Sentryに最高危険度(CVSS 10.0)の欠陥が発見された。外部から無断でシステムの最高権限を奪える
  • あなたのせい? → いいえ。製品自体の欠陥です
  • 今すぐやること?
    1. まずログや管理者アカウントを確認して「侵入の形跡がないか」をチェック
    2. 修正版(10.5.2 / 10.6.2 / 10.7.1)にアップデート
    3. 管理画面へのアクセスをインターネットから遮断
  • 修正版はある? → はい、2026年6月9日にすでに公開されています

最新情報・公式情報をチェックするには

今後の情報は以下の公式ソースで確認してください:

確認場所URL
Ivanti 公式セキュリティ情報https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry
CISA 既知の悪用リスト(KEV)https://www.cisa.gov/known-exploited-vulnerabilities-catalog
CISA 公式X(旧Twitter)@CISAgov
Ivanti 公式X(旧Twitter)@GoIvanti
Shadowserver(攻撃観測状況)https://www.shadowserver.org

Ivanti Sentryをご利用の方は、ぜひ今日のうちに担当のシステム管理者やITベンダーに連絡し、「CVE-2026-10520のパッチは当たっていますか?」と確認してみてください。それが今できる最も大切な一歩です。

難しい言葉が多くて大変だと思いますが、修正プログラムはすでに用意されています。落ち着いて、一つひとつ対処していきましょう。

コメント

タイトルとURLをコピーしました