Ivanti VPNに中国系ハッカーがバックドア設置、119組織侵害――日本の現場が今すぐ確認すべきこと

本稿では、Bloombergが2026年2月19日に報じたIvanti製VPN製品へのバックドア設置と大規模侵害、および2024年以降も続く同製品の脆弱性悪用の経緯を時系列で整理し、日本のIT現場で境界デバイスの運用を担う実務者が直面するリスクと、現実的な対応の進め方を考察します。

事象の解説
実務視点での考察
参考情報

事象の解説

今回の問題は、時期の異なる3つの事象が重なっています。混同しやすいため、時系列で分離して整理します。

事象1：2021年 — Pulse Secureへのバックドア設置と119組織への侵害

Bloombergの調査報道（2026年2月19日）によると、2021年2月にIvanti社は、傘下のPulse SecureのVPNソフトウェアが中国系ハッカーによって侵害されていたことを発見しました。攻撃者はソフトウェアにバックドアを設置しており、同じVPN製品を使用する119の組織にアクセス可能な状態だったと報じられています。セキュリティ企業Mandiantもこの侵害を把握しており、欧州および米国の軍事関連企業への侵害をIvantiに警告していたとのことです。

TechCrunch（2026年2月23日）もこの報道を取り上げ、買収やレイオフ、コスト削減がIvantiの製品セキュリティ品質を損なったと指摘しています。

なお、Ivantiの広報担当者はBloombergに対し「Connect Secureにハッカーによるバックドアが仕掛けられた事実はない」と反論しています。Mandiantはコメント要請に応じていません。

事象2：2024年 — ゼロデイ脆弱性の連鎖悪用とCISAの緊急切断命令

2024年1月、セキュリティ企業Volexityが、Ivanti Connect SecureおよびIvanti Policy Secureに存在する2つのゼロデイ脆弱性を報告しました。

CVE-2023-46805（認証バイパス）：認証チェックを迂回してリソースにアクセス可能
CVE-2024-21887（コマンドインジェクション）：認証済みユーザーとして任意のコマンドを実行可能

この2つを組み合わせると、認証なしでリモートから任意のコマンドを実行できる状態となります。Mandiantはこの攻撃活動をUNC5221として追跡し、中国の国家支援グループとの関連を指摘しています。

CISA（米サイバーセキュリティ・インフラセキュリティ庁）は2024年1月19日、緊急指令（ED 24-01）を発出し、すべての連邦民間行政機関に対して即時の緩和策適用を命じました。さらに2月の補足指令では、影響を受けるIvanti製品をネットワークから切断するよう命じる異例の措置を取っています。

CISAは独自の検証環境でこれらの脆弱性を調査し、その結果を勧告（AA24-060B）として公開しています。この検証では、脆弱性の悪用によりActive Directoryのドメイン管理者の平文認証情報（cleartext credentials）の窃取、ルートレベルの永続化、そしてIvanti製品に内蔵された整合性チェックツール（ICT）の回避が可能であることが実証されています。

JPCERT/CCも注意喚起（JPCERT-AT-2024-0002）を発出し、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。さらに、攻撃者が製品上のログを削除して痕跡を消すケースも確認されており、製品ログだけでなく周辺機器のログも含めた調査を推奨しています。

事象3：2025年 — さらなる脆弱性の悪用継続

2025年1月にはIvanti Connect Secureの新たな脆弱性（CVE-2025-0282：スタックベースのバッファオーバーフロー）が公開され、パッチ公開前から悪用が確認されました。JPCERT/CCの注意喚起（JPCERT-AT-2025-0001）によると、2024年12月下旬から国内で複数の被害が確認されており、複数の攻撃グループによる悪用が報告されています。

2025年4月にも別の脆弱性（CVE-2025-22457）の悪用が確認され、JPCERT/CCは国内ホストでの攻撃被害の発生を確認しています。ICTの出力結果が改ざんされる事例も引き続き報告されており、ICTの結果だけで「侵害なし」と判断することの危険性が繰り返し指摘されています。

背景：PE買収とコスト削減の影響

今回のIvanti問題には、製品の来歴が深く関わっています。問題のVPN製品はもともとJuniper Networksが開発した「Junos Pulse」で、2014年にPEファームのSiris Capitalが買収し「Pulse Secure」にリブランド。2020年にClearlake Capital GroupとTA Associatesが支援するIvanti社がPulse Secureを買収・統合しました。

Bloombergの報道は、Clearlake Capitalによる買収後（特に2022年）の大規模な人員削減が、製品やセキュリティに関する深い知識を持つ社員の流出につながり、コードレビューの弱体化やインシデント対応の遅延を招いたと指摘しています。TechCrunchも競合のCitrixで同様の構図（PE買収後のレイオフとセキュリティインシデント多発）が起きていることに言及しています。ただし、これらはBloomberg/TechCrunchの分析であり、Ivanti側はこの見方に反論している点に留意が必要です。

実務視点での考察

ここからは、日本のIT現場でネットワーク・セキュリティ運用に携わる立場から、この事案が突きつける課題を考察します。

「VPNを即座に切断せよ」が現実的でない日本の現場

CISAは連邦機関に対してIvanti製品の切断を命じましたが、日本の一般企業がこれをそのまま実行するのは極めて困難です。VPNは多くの組織でリモートアクセスの唯一の手段になっており、代替経路なしに停止すれば業務が止まります。経営層への説明、利用部門との調整、代替手段の手配には時間がかかり、「2日以内に切断」という指示をそのまま適用できる組織は少ないでしょう。

現実的な初動としては、まずアウトバウンドの不審な通信（C2ビーコニングなど）の検知ルールをSIEMやファイアウォールに最優先で適用し、Ivanti製品からのログをアプライアンス外に転送（syslog等）して保全することが重要です。製品上のログが攻撃者によって削除されるケースがJPCERT/CCでも確認されており、アプライアンス内のログだけに依存した調査では侵害を見逃す可能性があります。

ICT（整合性チェックツール）を過信してはいけない

CISAの検証とJPCERT/CCの報告の両方が、Ivanti提供のICTでは侵害を検出できないケースがあることを明確に指摘しています。ICTの結果が「問題なし」であっても、それだけで「侵害なし」と判断するのは危険です。2025年の事案ではICTの出力結果自体が改ざんされる事例も報告されています。

ICTはあくまで補助的なツールと位置づけ、Active Directoryの認証ログ、DNSクエリログ、NTLMハッシュの異常な使用など、周辺システムのログとの相関分析を併用すべきです。

ベンダー選定・継続評価に「セキュリティ体制」を組み込む

今回の事案が示すもう一つの教訓は、境界デバイスのベンダーを評価する際に、製品の機能や価格だけでなく、ベンダーのセキュリティ対応体制（PSIRTの反応速度、脆弱性公開のタイムライン、EOL方針、SBOMの提供状況）を継続的に評価する必要があるという点です。Ivanti製品に限らず、Citrix、Fortinet、Palo Altoなど、境界デバイスは近年国家支援型攻撃者の主要な標的になっています。

Bloomberg/TechCrunchが指摘するPE買収後のセキュリティ品質低下のリスクは、Ivantiに限った話ではありません。自社が利用しているベンダーの資本構成が変わった場合に、セキュリティ投資への影響を評価する視点も、調達・運用部門には求められるようになっています。

中長期：VPNコンセントレーターへの依存からの脱却

方向性としてはZTNA（ゼロトラストネットワークアクセス）への移行が挙げられますが、これも簡単ではありません。移行期間中にVPNとZTNAを並行運用する「デュアルスタック」状態が長引くと、管理対象が増えてかえってリスクが拡大します。また、ZTNAを導入してもIdP（IDプロバイダー）の設計が甘ければ、結局は認証基盤が単一障害点になります。

段階的な移行計画を経営層に提示する際には、「ZTNAに変えれば安全」という単純化ではなく、移行期間中のリスク管理方法と、IdP・認証基盤の堅牢化を含めた全体設計が必要です。