Ivantiは2026年6月1日、Ivanti Neurons for ITSMに関するセキュリティアップデートを公開しました。
今回公表されたCVE-2026-9614は、Ivanti Neurons for ITSMのクラウド版およびオンプレミス版に影響する不適切なアクセス制御の脆弱性です。悪用された場合、認証済みのリモート攻撃者が管理者権限を取得できる可能性があります。
CVSS v3.1の基本値は8.8で、深刻度はHighです。未認証で直ちに攻撃できる脆弱性ではありませんが、ITSM製品はサービスデスク、インシデント管理、変更管理、社内システム情報、運用履歴を扱うため、管理者権限を奪われた場合の影響は大きくなります。
Ivantiは公表時点で、この脆弱性を悪用された顧客は確認していないと説明しています。一方で、オンプレミス版の利用企業は自社で修正版を適用する必要があるため、対象バージョンの確認と更新を優先すべきです。
この記事のサマリー
- Ivanti Neurons for ITSMにCVE-2026-9614が公開されました。
- 脆弱性の種別は不適切なアクセス制御です。
- 認証済みのリモート攻撃者が管理者権限を取得できる可能性があります。
- CVSS v3.1は8.8で、Highに分類されています。
- 影響対象はIvanti Neurons for ITSMのクラウド版およびオンプレミス版です。
- Ivantiは公表時点で、悪用された顧客は確認していないと説明しています。
- SaaS環境はサービス更新により修正済みで、クラウド利用者側の作業は不要と案内されています。
- オンプレミス版の利用企業は、2025.2 Patch 1、2025.3 Patch 1、2025.4 Patch 1など該当する修正版への更新が必要です。
- 情報システム部門は、更新に加え、管理者ロール、ユーザー権限、監査ログ、外部連携、APIキー、過去の管理操作を確認する必要があります。
目次
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-9614 |
| 製品 | Ivanti Neurons for ITSM |
| 影響形態 | クラウド版およびオンプレミス版 |
| 脆弱性種別 | 不適切なアクセス制御 |
| CWE | CWE-284 |
| CVSS v3.1 | 8.8 High |
| 攻撃条件 | リモートから悪用可能、低権限の認証済みユーザーが必要 |
| ユーザー操作 | 不要 |
| 想定影響 | 管理者権限の取得、機密性・完全性・可用性への高い影響 |
| 悪用状況 | Ivantiは公表時点で悪用確認なしと説明 |
NVDでは、CVE-2026-9614について、Ivanti Neurons for ITSMにおける不適切なアクセス制御により、リモートの認証済み攻撃者が管理者権限を取得できる可能性があると説明されています。
影響を受けるバージョン
CERT-FRが案内している影響対象は以下です。
| 製品 | 影響バージョン |
|---|---|
| Ivanti Neurons for ITSM Cloud | 2026.1 Patch 9より前 |
| Ivanti Neurons for ITSM Cloud | 2026.2 Patch 1より前 |
| Ivanti Neurons for ITSM On-Premises | 2025.2 Patch 1より前 |
| Ivanti Neurons for ITSM On-Premises | 2025.3 Patch 1より前 |
| Ivanti Neurons for ITSM On-Premises | 2025.4 Patch 1より前 |
カナダのCanadian Centre for Cyber Securityも、Ivanti Neurons for ITSMのオンプレミス版2025.4以前、クラウド版2026.1以前を対象として、必要な更新の適用を促しています。
Ivantiによると、SaaS環境はサービス更新により修正済みで、クラウド利用者側の追加作業は不要とされています。ただし、クラウド版を利用している企業でも、自社テナントが修正済み環境に移行済みであることは管理画面やサポート窓口で確認しておくべきです。
修正版
オンプレミス版を利用している場合、少なくとも以下の修正版への更新が必要です。
| 利用中の系統 | 修正版 |
|---|---|
| 2025.2 | 2025.2 Patch 1 |
| 2025.3 | 2025.3 Patch 1 |
| 2025.4 | 2025.4 Patch 1 |
Ivantiは、オンプレミス版の利用者に対し、セキュリティアドバイザリを確認し、できるだけ早く修正を適用するよう求めています。
Ivanti Neurons for ITSMとは
Ivanti Neurons for ITSMは、ITサービス管理を行うための製品です。
インシデント管理、サービスリクエスト、問題管理、変更管理、ナレッジ管理、資産管理、ワークフロー、承認処理など、情報システム部門やサービスデスクの業務を支える用途で利用されます。
ITSM製品には、社内システムの障害情報、問い合わせ内容、端末情報、担当者情報、承認履歴、システム構成情報、内部URL、運用手順が集まることがあります。そのため、ITSMの管理者権限を奪われると、単なるチケット閲覧にとどまらず、社内IT運用全体の情報収集や後続攻撃に悪用される恐れがあります。
今回のCVE-2026-9614は、認証済みユーザーが管理者権限へ昇格し得る点が重要です。未認証RCEではありませんが、社内ユーザー、委託先アカウント、漏えい済みアカウントが悪用された場合、影響は大きくなります。
なぜ危険なのか
CVE-2026-9614は、認証済み攻撃者が必要な脆弱性です。そのため、インターネットから未認証で即時侵害されるタイプの脆弱性とは条件が異なります。
しかし、ITSM製品で管理者権限を取得されるリスクは軽視できません。
ITSMには、社内問い合わせ、障害対応履歴、変更申請、端末情報、担当者名、内部システム名、運用手順、承認フロー、委託先とのやり取りが含まれることがあります。攻撃者が管理者権限を取得した場合、これらの情報を収集し、次の攻撃に使う可能性があります。
また、ITSMがメール、SaaS、ID管理、資産管理、監視、チャット、エンドポイント管理と連携している場合、管理者権限の悪用により外部連携設定やワークフローを変更される恐れもあります。
| 想定される影響 | 内容 |
|---|---|
| 管理者権限の取得 | 攻撃者がITSM上で高権限操作を行う恐れ |
| チケット情報の閲覧 | 障害情報、問い合わせ、内部システム名、担当者情報の漏えい |
| ワークフロー改ざん | 承認フロー、通知先、処理ルールの不正変更 |
| ユーザー権限変更 | 正規ユーザーへの権限付与・削除、攻撃者アカウントの隠蔽 |
| 外部連携の悪用 | メール、SaaS、チャット、監視ツールとの連携設定変更 |
| 後続攻撃の準備 | 社内構成や運用情報をもとに横展開や標的型攻撃へ発展 |
過去のIvanti関連事案との関係
今回の脆弱性は、Ivanti製品の管理基盤を狙うリスクの流れの中で見る必要があります。
セキュリティ対策Labでは、過去にもIvanti Neurons for ITSMの認証バイパス脆弱性CVE-2025-22462を取り上げています。この脆弱性はオンプレミス版に影響し、認証なしでシステム管理者権限を取得される可能性がある重大な問題でした。
また、Ivanti Connect Secure、Ivanti EPMM、Ivanti Endpoint Managerなど、Ivantiの境界・管理系製品では、ゼロデイ悪用や高深刻度脆弱性が継続的に報告されています。
今回のCVE-2026-9614はITSM製品の権限昇格であり、VPN製品のような境界機器のRCEとは性質が異なります。ただし、企業の管理情報と運用情報が集まるITSMで管理者権限を奪われる点は、インシデント対応上の優先度を高く見るべきです。
すぐに実施すべき対応
Step 1:Ivanti Neurons for ITSMの利用有無を確認する
まず、自社でIvanti Neurons for ITSMを利用しているか確認してください。
確認対象は、情報システム部門が直接管理している環境だけではありません。グループ会社、海外拠点、子会社、M&Aで引き継いだ環境、外部委託先が運用するサービスデスク環境も確認対象です。
| 確認対象 | 内容 |
|---|---|
| オンプレミス版 | 自社サーバ、IIS、DB、アプリケーションサーバで稼働していないか |
| クラウド版 | Ivanti Neurons for ITSM Cloudの契約・利用状況 |
| グループ会社 | 独自にITSMを導入していないか |
| 海外拠点 | 現地IT部門が別インスタンスを利用していないか |
| 委託先 | サービスデスク業務を委託先環境で運用していないか |
| 検証環境 | 古いバージョンのITSMが残っていないか |
Step 2:バージョンとパッチ適用状況を確認する
オンプレミス版を利用している場合は、現在のバージョンとパッチ適用状況を確認してください。
| 利用中のバージョン | 必要な対応 |
|---|---|
| 2025.2 Patch 1より前 | 2025.2 Patch 1以降へ更新 |
| 2025.3 Patch 1より前 | 2025.3 Patch 1以降へ更新 |
| 2025.4 Patch 1より前 | 2025.4 Patch 1以降へ更新 |
| 2025.4以前 | 公式アドバイザリとサポート窓口で影響確認 |
| クラウド版 2026.1 | 2026.1 Patch 9以降か確認 |
| クラウド版 2026.2 | 2026.2 Patch 1以降か確認 |
オンプレミス環境では、アプリケーション更新だけでなく、事前バックアップ、停止時間、ロールバック手順、DB整合性、外部連携の再確認が必要です。
Step 3:管理者ロールとユーザー権限を監査する
今回の脆弱性は管理者権限の取得につながる可能性があります。
パッチ適用とあわせて、現在の管理者ロールとユーザー権限を監査してください。
| 確認項目 | 内容 |
|---|---|
| 管理者ユーザー | 想定外の管理者アカウントがないか |
| 権限昇格履歴 | 一般ユーザーから管理者へ変更された履歴がないか |
| ロール定義 | 管理者相当の権限を持つカスタムロールがないか |
| 委託先アカウント | 期限切れ・不要な委託先アカウントが残っていないか |
| 退職者・異動者 | 利用終了済みアカウントが残っていないか |
| API・統合用アカウント | 過剰な権限が付与されていないか |
特に、通常業務で使われない深夜帯や休日にロール変更が行われていないかを確認してください。
Step 4:監査ログを確認する
すでに悪用されていないか確認するため、ITSMの監査ログ、認証ログ、アプリケーションログを確認してください。
| ログ | 見るべき内容 |
|---|---|
| ログイン履歴 | 通常と異なるIP、国・地域、時間帯からのログイン |
| 権限変更ログ | 管理者ロール付与、ロール変更、権限追加 |
| ユーザー作成ログ | 不審な新規ユーザー、休眠アカウントの再有効化 |
| ワークフロー変更 | 承認フロー、通知先、ルールの不審な変更 |
| 外部連携設定 | Webhook、API、メール連携、SaaS連携の変更 |
| エクスポート操作 | チケット、ユーザー、資産情報の大量エクスポート |
| 失敗ログ | 権限不足エラーや不審な連続操作 |
認証済み攻撃が前提になるため、ログイン成功後の管理操作を重点的に確認する必要があります。
Step 5:外部公開範囲とアクセス制御を確認する
Ivanti Neurons for ITSMをインターネットから利用できる構成にしている場合、公開範囲を確認してください。
| 確認項目 | 内容 |
|---|---|
| インターネット公開 | 管理画面やユーザーポータルが外部公開されていないか |
| VPN必須化 | 管理者操作はVPNやゼロトラスト経由に限定できるか |
| IP制限 | 管理者画面を特定IPや社内ネットワークに限定できるか |
| MFA | 管理者と委託先アカウントに多要素認証を必須化しているか |
| SSO連携 | Entra ID、Oktaなどの条件付きアクセスが適用されているか |
| 不要アカウント | 外部アクセス可能な休眠アカウントがないか |
オンプレミス版では、IIS、ロードバランサ、WAF、リバースプロキシ、VPN、クラウドセキュリティグループなども含めて到達性を確認してください。
Step 6:外部連携とAPIキーを確認する
ITSMは他システムと連携していることが多いため、管理者権限を奪われた場合、外部連携設定が悪用される可能性があります。
| 対象 | 確認内容 |
|---|---|
| メール連携 | 通知先、SMTP設定、メールテンプレートの改ざん |
| チャット連携 | Teams、SlackなどへのWebhook設定 |
| 監視連携 | Zabbix、Datadog、SIEMなどとの連携 |
| 資産管理連携 | 端末・ソフトウェア資産情報へのアクセス |
| ID管理連携 | SSO、LDAP、AD、SCIM設定 |
| APIキー | 不審なAPIキー、長期間使われていないキー |
| 自動化 | チケット作成、承認、通知、変更管理の自動処理 |
不審な連携が見つかった場合は、APIキーやトークンのローテーションも検討してください。
監視で確認すべきポイント
今回の脆弱性は、管理者権限の取得につながる可能性があるため、パッチ適用後も一定期間は監視を強化してください。
| 監視対象 | 見るべき内容 |
|---|---|
| 認証ログ | 低権限ユーザーのログイン後に管理操作が発生していないか |
| ロール変更 | 管理者・運用者・カスタムロールの変更 |
| ユーザー管理 | 新規管理者、アカウント有効化、MFA無効化 |
| チケット操作 | 大量閲覧、大量エクスポート、機密チケットへのアクセス |
| 管理設定 | 通知先、ワークフロー、承認ルート、テンプレートの変更 |
| APIアクセス | 通常外のAPI呼び出し、大量取得、未知の送信元 |
| DB・Webログ | エラー増加、不審なPOST、管理系URLへの連続アクセス |
ITSMは通常業務の操作量が多く、単純なアクセス数だけでは異常を見つけにくい傾向があります。通常は管理者が行わないユーザーによるロール変更、深夜帯の設定変更、外部IPからの管理操作を基準に確認してください。
情報システム部門が確認すべきポイント
管理者権限の最小化
ITSMの管理者権限は、必要最小限にしてください。
管理者権限を持つユーザーが多いほど、認証情報漏えいや権限昇格時の影響が大きくなります。特に、委託先、外部保守、退職者、異動者、休眠アカウントの管理者権限は見直しが必要です。
パッチ適用だけで終わらせない
今回のようなアクセス制御不備では、修正版の適用が最優先です。
ただし、脆弱な期間中に権限昇格が発生していた場合、パッチ適用だけでは影響確認になりません。管理者アカウント、ロール変更、ワークフロー変更、外部連携設定、APIキー、エクスポート履歴を確認してください。
ITSM内の機密情報を見直す
チケット本文や添付ファイルに、パスワード、VPN情報、APIキー、内部URL、構成図、障害対応手順が記載されていないか確認してください。
ITSMは便利な記録場所ですが、攻撃者から見ると社内システムの地図にもなります。機密情報をチケットへ直接記載しないルール、添付ファイルの保存期間、アクセス制御、監査ログを見直す必要があります。
今後確認すべきこと
Ivantiは、公表時点で悪用された顧客は確認していないと説明しています。
ただし、CVE公開後は攻撃者が差分解析や検証を行い、悪用手順を探す可能性があります。特にITSMのような管理基盤は、侵害後の情報収集に有効なため、攻撃者にとって価値が高い標的です。
| 確認点 | 理由 |
|---|---|
| 公式アドバイザリの更新 | 影響バージョンや緩和策が更新される可能性があるため |
| パッチ適用完了 | オンプレミス環境では自社作業が必要なため |
| クラウド版の更新状況 | テナントが修正済みか確認する必要があるため |
| 悪用情報の有無 | 公表後に攻撃が始まる可能性があるため |
| 管理者権限変更履歴 | 既に権限昇格が行われていないか確認するため |
| API・外部連携 | 管理者権限で設定変更されていないか確認するため |
| 過去のITSMチケット内の機密情報 | 侵害時の情報漏えい影響を抑えるため |
参考情報・出典
関連記事
に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨-200x200.png)
Ivanti Neurons for ITSM(オンプレミス版)に認証バイパス脆弱性(CVE-2025-22462)-早急なパッチ適用を推奨
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)
Oracleが2026年5月の定例パッチを公開-致命的な脆弱性 CVE-2026-46840など35件を修正
Ivanti、EPMMの重大RCE 脆弱性2件を公表 ゼロデイ悪用も確認(CVE-2026-1281,CVE-2026-1340)-JPCERTも注意喚起
自律型 AI エージェント OpenClawに4つの脆弱性「Claw Chain」-CVSS 9.6のサンドボックス脱出を含む4件をチェーンしてデータ窃取・権限昇格・恒久バックドア設置が可能
Microsoft Exchange Serverのゼロデイ脆弱性 CVE-2026-42897がサイバー攻撃へ悪用
Ivanti、Endpoint Managerの脆弱性を含む複数の脆弱性を修正(CVE-2025-9712,CVE-2025-9872)
GitLabがDuo AIの高深刻度脆弱性 CVE-2026-4868を修正、19.0.1/18.11.4/18.10.7へ更新を推奨
