FortiClient EMSにCVSS 9.1のゼロデイ——認証不要で任意コード実行
CVSS 9.1(Critical)、認証なしで任意コード実行——Fortinet FortiClient EMSに発見されたゼロデイ脆弱性CVE-2026-35616が、パッチ公開前から積極的に悪用されています。 Shadowserverの調査では2,000以上のFortiClient EMSインスタンスがインターネットに露出しており、すでにPoCエクスプロイトがGitHubで公開されている状況です。CISAは4月6日にKnown Exploited Vulnerabilities(KEV)カタログに追加し、米連邦機関に4月9日までの修正を義務付けました。
FortiClient EMSはエンタープライズのエンドポイントセキュリティ管理の中枢です。この脆弱性を悪用されると、攻撃者はEMSサーバーを足がかりに管理下の全エンドポイントへマルウェアを展開したり、機密データを窃取したりすることが可能になります。日本でもFortinetのセキュリティアプライアンスは広く導入されており、即座に影響確認と対策が求められます。
CVE-2026-35616とは何か
CVE-2026-35616は、FortiClient Enterprise Management Server(EMS)のAPIに存在する**不適切なアクセス制御(Improper Access Control, CWE-284)**の脆弱性です。
脆弱性の仕組み
FortiClient EMSは、組織内の全エンドポイントにインストールされたFortiClientエージェントを一元管理するサーバーです。管理者向けに提供されているAPIを通じて、ポリシー配布やエンドポイント監視、ソフトウェア更新などを行います。
今回の脆弱性では、このAPIの認証・認可メカニズムを完全にバイパスできてしまいます。具体的には以下のような問題があります。
- 認証前バイパス: 攻撃者は有効なクレデンシャル(ユーザー名・パスワード)なしにAPIエンドポイントにアクセスできる
- 認可チェックの欠如: 通常は管理者権限が必要な操作が、認証をバイパスした状態で実行可能
- コード実行: 細工されたリクエストを送信することで、EMSサーバー上で任意のコードやコマンドを実行できる
セキュリティ研究企業Defused Cyberの分析によれば、この脆弱性は「認証前APIアクセスバイパスから特権昇格に至る」もので、攻撃の複雑性が低く、ユーザー操作も不要です。これがCVSS 9.1という極めて高いスコアにつながっています。
この図は、CVE-2026-35616の攻撃フローとパッチ公開までのタイムライン、および影響の深刻度を示しています。
攻撃が成立するシナリオ
CVE-2026-35616を悪用した攻撃は、以下の流れで進行します。
- 偵察: 攻撃者がインターネットに露出したFortiClient EMSインスタンスをスキャンし、対象を特定する
- エクスプロイト送信: 細工したHTTPリクエストをEMSのAPIエンドポイントに送信し、認証・認可を完全にバイパスする
- 任意コード実行: EMSサーバー上でシステム権限のコマンドを実行し、バックドアやWebシェルを設置する
- 横展開: EMSサーバーは管理下の全FortiClientエージェントにポリシーやソフトウェアをプッシュできるため、攻撃者はこの機能を悪用して組織内の全エンドポイントへマルウェアを配布する
- データ窃取・持続的アクセス: 認証情報、機密ファイル、ネットワーク設定情報などを窃取し、長期的な侵害を確立する
特に危険なのは、EMSサーバーがエンドポイント管理の中枢であるため、1台の侵害が組織全体の侵害に直結する点です。
タイムラインと対応状況
事態の推移を時系列で整理します。
| 日付 | 出来事 |
|---|---|
| 2026年3月31日 | watchTowrのAttacker Eyeセンサーがゼロデイ悪用を初検出 |
| 4月初旬 | Defused CyberがFortinetに脆弱性を報告 |
| 4月4日 | Fortinetがセキュリティアドバイザリを公開 |
| 4月5日 | FortiClient EMS 7.4.5/7.4.6向け緊急ホットフィックスをリリース |
| 4月6日 | CISAがKEVカタログに追加、連邦機関に4月9日までのパッチ適用を義務付け |
| 4月6日〜 | PoCエクスプロイトがGitHubで公開、攻撃が拡大 |
| 未定 | FortiClient EMS 7.4.7(完全修正版)リリース予定 |
注目すべきは、パッチ公開前の少なくとも4日間、ゼロデイとして悪用されていたという点です。watchTowrのセンサーが3月31日に検出した時点では、Fortinetはまだアドバイザリすら公開していませんでした。
影響を受けるバージョン
| バージョン | 影響 | 対策 |
|---|---|---|
| FortiClient EMS 7.4.6 | 影響あり | 緊急ホットフィックス適用 → 7.4.7待ち |
| FortiClient EMS 7.4.5 | 影響あり | 緊急ホットフィックス適用 → 7.4.7待ち |
| FortiClient EMS 7.2.x | 影響なし | 対策不要(ただし他の脆弱性に注意) |
| FortiClient EMS 8.0.x | 未確認 | Fortinetの続報を待つ |
Fortinet製品の脆弱性の歴史
CVE-2026-35616は、Fortinet製品を狙った一連の重大脆弱性の最新例に過ぎません。過去数年間を振り返ると、国家レベルの攻撃者がFortinet製品のゼロデイを繰り返し悪用してきた歴史があります。
この図は、2022年から2026年にかけてのFortinet主要脆弱性の推移とCVSSスコアを示しています。
| CVE番号 | 年 | 対象製品 | 脆弱性の種類 | CVSS | 概要 |
|---|---|---|---|---|---|
| CVE-2022-42475 | 2022 | FortiOS SSL-VPN | ヒープバッファオーバーフロー | 9.8 | SSL-VPN経由の任意コード実行。国家レベルの攻撃者が悪用 |
| CVE-2023-27997 | 2023 | FortiOS SSL-VPN | ヒープオーバーフロー | 9.2 | 13万台以上のアプライアンスが未パッチのまま露出 |
| CVE-2023-48788 | 2023 | FortiClient EMS | SQLインジェクション | 9.3 | EMS管理画面へのSQLi攻撃 |
| CVE-2024-21762 | 2024 | FortiOS SSL-VPN | 境界外書き込み | 9.6 | CISAがKEVに追加。大規模な悪用を確認 |
| CVE-2026-21643 | 2026 | FortiClient EMS | SQLインジェクション | 9.0 | CVE-2026-35616の2週間前に報告。連鎖攻撃の可能性 |
| CVE-2026-35616 | 2026 | FortiClient EMS | 不適切なアクセス制御 | 9.1 | 今回の脆弱性。認証不要で任意コード実行 |
パターンの分析
この一覧から見えてくるのは以下のパターンです。
- 毎年のようにCritical級の脆弱性が発見されている: 2022年から2026年まで途切れることなく、CVSS 9.0以上の脆弱性が見つかっている
- FortiClient EMSが新たな標的に: 2023年以降、従来のFortiOS(SSL-VPN)だけでなくFortiClient EMSも攻撃対象になっている
- パッチ後も持続的アクセスが確認: 2025年4月にFortinetが公開したPSIRTブログによれば、脆弱性をパッチした後もデバイスへの持続的アクセスが維持されるケースが報告されている
- 国家レベルの攻撃者が関与: 中国の脅威アクターを含む高度な攻撃者グループがFortinet製品を繰り返し標的にしている
エンドポイント管理製品の比較
FortiClient EMSの代替や併用を検討する際の参考として、主要なエンドポイント管理・保護プラットフォームを比較します。
| 製品 | ベンダー | 主な特徴 | Gartner評価 | 価格帯(年間/端末) |
|---|---|---|---|---|
| FortiClient EMS | Fortinet | FortiGateとの統合、ZTNA対応 | Customers' Choice (2023-2026) | 約$30-50(約4,500-7,500円) |
| CrowdStrike Falcon | CrowdStrike | クラウドネイティブEDR、AIベース検出 | Leader | 約$60-100(約9,000-15,000円) |
| Microsoft Defender for Endpoint | Microsoft | M365統合、Copilot for Security | Leader | 約$50-70(約7,500-10,500円) |
| SentinelOne Singularity | SentinelOne | 自律型AI、XDR統合 | Leader | 約$45-80(約6,750-12,000円) |
| Palo Alto Cortex XDR | Palo Alto Networks | NGFW統合、XSIAM連携 | Leader | 約$50-90(約7,500-13,500円) |
FortiClient EMSの強みはFortiGateファイアウォールとのネイティブ統合にあり、FortiGateを既に導入している組織にとっては、エンドポイントのコンプライアンス状態をリアルタイムで評価し、非準拠デバイスをネットワークレベルで自動隔離できるという他製品にない利点があります。ただし、今回の脆弱性のようにEMS自体が侵害された場合、この統合がかえってリスクを拡大することも認識しておく必要があります。
日本企業への影響と対策
日本における導入状況
Fortinetは日本のネットワークセキュリティ市場で大きなシェアを持っています。特にFortiGateファイアウォールは官公庁、金融機関、製造業を中心に幅広く導入されており、FortiGateと連携するFortiClient EMSも相当数が稼働していると推測されます。
Gartner Peer Insightsでは、FortiClientはエンドポイント保護プラットフォームカテゴリで4.8/5.0の高評価を得ており、特に大企業セグメント(従業員10,000人以上)での利用者が47%を占めています。日本の大手企業でも同様の傾向があるとみられます。
日本固有のリスク要因
日本企業が特に注意すべき点がいくつかあります。
- パッチ適用の遅れ: 日本企業は変更管理プロセスが厳格なため、緊急パッチの適用に時間がかかる傾向がある。しかし今回はゼロデイ悪用が確認されており、通常の承認プロセスを短縮して即座に対応すべき
- VPN依存の高さ: リモートワークの普及に伴い、日本企業のVPN利用率は依然として高い。FortiClient EMSはVPNクライアントの管理にも使われるため、侵害時の影響範囲が広い
- サプライチェーンリスク: EMSサーバーが侵害されると、取引先や子会社のエンドポイントにもマルウェアが配布される可能性がある。日本の製造業に多い多層的なサプライチェーンでは、被害が連鎖的に拡大するリスクがある
- CISA KEV登録の意味: 日本企業が直接CISAの指示に従う義務はないが、KEVカタログへの登録は脆弱性の深刻度を示す重要な指標。JPCERT/CCやIPAからも同様の注意喚起が出る可能性が高い
セキュリティ対策の強化
今回の脆弱性を機に、エンドポイントセキュリティ全体の見直しも検討すべきです。パスワード管理の一元化には1Passwordが有効です。万が一の認証情報漏洩に備え、全社的なパスワードポリシーの強化と多要素認証の徹底を進めましょう。
また、リモートアクセス環境のセキュリティ強化にはNordVPNのようなゼロトラスト対応のVPNソリューションも選択肢の一つです。FortiClient VPNに全面依存している場合は、代替手段の確保も検討に値します。
緊急対策チェックリスト
今回の脆弱性に対して、以下の対策を即座に実施してください。
今すぐやるべきこと(24時間以内)
- バージョン確認: FortiClient EMSのバージョンが7.4.5または7.4.6であるか確認する
- ホットフィックス適用: Fortinetが公開した緊急ホットフィックスを即座に適用する。変更管理プロセスの短縮を経営層に進言する
- ネットワーク隔離: EMSサーバーをインターネットから直接アクセスできない状態にする。管理ポートへのアクセスを社内ネットワークまたはVPN経由のみに制限する
- ログ確認: EMSサーバーのアクセスログ、APIログを確認し、不審なリクエスト(特に認証なしのAPI呼び出し)がないか調査する
短期対策(1週間以内)
- IoC確認: watchTowrやDefused Cyberが公開するIoC(侵害の痕跡)と自社ログを照合する
- FortiClient EMS 7.4.7へのアップグレード計画: 完全修正版がリリースされ次第、速やかにアップグレードするための計画を策定する
- CVE-2026-21643との連鎖確認: 2週間前に報告されたSQLインジェクション脆弱性(CVE-2026-21643)のパッチも適用済みか確認する。両脆弱性が連鎖的に悪用される可能性が指摘されている
- エンドポイント全体のスキャン: EMSサーバーだけでなく、管理下の全エンドポイントに不審なプロセスやファイルがないかEDRでスキャンする
中長期対策
- ゼロトラストアーキテクチャの導入: エンドポイント管理サーバー自体が侵害されるリスクを前提に、ゼロトラストモデルへの移行を計画する
- 多層防御の強化: FortiClient EMSだけに依存せず、EDR/XDRソリューションの併用を検討する
- 脆弱性管理プロセスの見直し: Fortinet製品に限らず、ネットワークアプライアンスの脆弱性情報を自動収集・通知するプロセスを構築する
- インシデント対応訓練: エンドポイント管理サーバーが侵害された場合のシナリオを想定した訓練を実施する
まとめ
CVE-2026-35616は、FortiClient EMSという企業のエンドポイントセキュリティの中枢を直撃する極めて深刻な脆弱性です。CVSS 9.1、認証不要で任意コード実行が可能、PoCも公開済みという三拍子が揃っており、対策の遅れは組織全体の侵害につながります。
Fortinetは過去4年間にわたりCritical級のゼロデイを繰り返し報告されており、「パッチを当てれば終わり」ではなく、Fortinet製品の運用自体を見直すタイミングに来ていると言えます。
具体的なアクションステップは以下の3つです。
- 即座に緊急ホットフィックスを適用する: FortiClient EMS 7.4.5/7.4.6を使用している場合、今すぐFortinetの緊急パッチを適用してください
- EMSサーバーのネットワーク露出を最小化する: インターネットから直接アクセスできる状態を即座に解消し、管理アクセスをVPN経由のみに制限してください
- 侵害の痕跡を確認する: 3月31日以降のEMSサーバーのログを精査し、不審なAPI呼び出しやファイル変更がないか確認してください
セキュリティは「事後対応」から「事前予防」へのシフトが求められています。今回の脆弱性を教訓に、自社のエンドポイントセキュリティ戦略を根本から見直してみてはいかがでしょうか。
「セキュリティ」カテゴリの記事
- セキュリティ
Smart Slider 3 Proが乗っ取られた——90万サイトに迫るバックドアの全貌
- セキュリティ
Marimo脆弱性CVE-2026-39987——公開10時間でroot奪取が始まった
- セキュリティ
偽WhatsAppアプリでスパイウェア配布——イタリア企業SIOが200人を標的に
- セキュリティ
React2ShellでNext.js 766ホスト侵害——CVSS 10.0の認証情報窃取攻撃
- セキュリティ
ロシアAPT28が家庭用ルーターを乗っ取りM365認証を大量窃取
- セキュリティ
Docker脆弱性CVE-2026-34040——1リクエストでホスト全権奪取の衝撃