Ivanti EPMMの脆弱性悪用でオランダ当局が被害、従業員の連絡先データが露出
Original Title: Dutch agencies hit by Ivanti EPMM exploit exposing employee contact data
Published (UTC): 2026-02-10T01:11:48+00:00
要旨(日本語)
– オランダの個人情報保護当局(AP)と司法評議会(Rvdr)が、Ivanti Endpoint Manager Mobile(EPMM)の新たに公表された脆弱性を悪用した攻撃を受けた。
– 事件は議会に報告され、1月29日にベンダーからの通知を受けた国家サイバーセキュリティセンター(NCSC)が把握した。
– EPMMはモバイル端末・アプリ・コンテンツの管理/セキュリティ基盤で、攻撃によりAP職員の業務用連絡先(氏名、業務メール、電話番号)が不正アクセスされた。
– 当局は直ちに対策を講じ、被害職員に通知し、所管当局への報告も実施した。
– NCSCは政府全体への波及の有無を継続監視・評価中。
– ルッテ(JenV)およびファン・マルム(BZK)の両政務次官が下院に状況を説明した。
– 欧州委員会でも1月30日にモバイル端末管理基盤への侵害痕跡を検知し、一部職員の氏名や携帯番号へのアクセス可能性を確認。
– 欧州委は9時間以内に封じ込めとシステムのクリーンアップを完了し、モバイル端末自体の侵害は確認されていない。
– 侵入手口は未公表で、CERT-EUが調査を継続している。
– 流出情報は、なりすましによるフィッシング/ビッシングや標的型偵察・物理的リスクを助長し、GDPR違反や評判低下の懸念を招く。