FortinetのFortiClient Enterprise Management Server (EMS)が、未認証のリモートコード実行(RCE)を可能にする深刻なゼロデイ脆弱性「CVE-2026-35616」の標的となり、サイバーセキュリティ業界に緊急警報が発令されました。この脆弱性はCVSSスコア9.1という極めて高い評価を受け、その悪用が既に確認されていたため、Fortinetは週末にかけて異例の緊急パッチ公開に踏み切りました。企業のエンドポイント管理の中核を担うEMSの脆弱性は、広範囲にわたる深刻な影響を及ぼす可能性を秘めています。
2026年4月6日のSecurityWeekの報道によると、Fortinetは週末にFortiClient EMSの脆弱性に対する緊急修正プログラムを急遽リリースしました。この問題は「不適切なアクセス制御」に起因するもので、認証されていない攻撃者が細工されたリクエストを送信することで、システム上で任意のコードを実行できるというものです。Fortinetは公式アドバイザリで「この脆弱性が実環境で悪用されていることを確認した」と警告し、その深刻さを強調しました。
影響を受けるのはFortiClient EMSのバージョン7.4.5および7.4.6で、バージョン7.2は影響を受けないとされています。Fortinetは、これらのバージョン向けにホットフィックスの提供を開始し、適用手順の詳細も公開しました。さらに、今後のFortiClient EMS 7.4.7リリースにはこの問題の恒久的な修正が含まれる予定ですが、それまでの間はホットフィックスの適用が完全な防御策として推奨されています。
この緊急対応は、攻撃者が既に脆弱性を悪用し、企業ネットワークへの侵入を試みているという現実を浮き彫りにしました。Fortinetが迅速な対応を迫られた背景には、この種のゼロデイ攻撃がもたらす即時かつ壊滅的なリスクがあります。企業は、この警告を単なるセキュリティ情報としてではなく、直ちに対応すべき緊急事態として捉える必要がありました。
攻撃の予兆:3月31日から始まった静かなる侵入
このゼロデイ攻撃の予兆は、Fortinetが公式アドバイザリを公開する数日前から既に観測されていました。セキュリティ企業WatchTowrの「Attacker Eye」センサーは、FortiClient EMSインスタンスに対する活発なエクスプロイト試行を、Fortinetがアドバイザリを公開する2026年4月4日よりも早い3月31日に特定していました。これは、攻撃者が公式発表に先んじて脆弱性を発見し、水面下で攻撃を開始していたことを示唆しています。
WatchTowrのCEO兼創設者であるベンジャミン・ハリス氏は、この状況に対し「失望させられるのは、より大きな全体像だ。これは数週間のうちにFortiClient EMSで発見された2番目の未認証脆弱性である」と述べ、企業に対し「火曜日の朝に手をつけるようなものではなく、緊急対応として扱うべきだ」と強く警告しました。攻撃者は既に先行しており、企業は一刻も早い対応が求められていました。
攻撃活動は3月31日から始まり、「本格的な攻撃の準備段階における初期プローブ」として観測されたとWatchTowrは分析しています。これは、攻撃者が脆弱性の存在を事前に把握し、標的となるシステムを特定するための偵察活動を行っていた可能性を示唆しています。この静かなる侵入の開始は、多くの企業がその危険性に気づく前に、既に攻撃の脅威に晒されていたことを意味します。
Fortinetの開示時点で、既に実環境での悪用が進行中であったという事実は、この種のゼロデイ脆弱性がもたらす脅威の即時性と深刻さを改めて浮き彫りにしました。WatchTowrは、クライアントがFortinetの開示に先んじて攻撃者の行動を早期に可視化し、迅速な対応を可能にしたと述べています。これは、脅威インテリジェンスと外部攻撃対象領域管理の重要性を示す事例と言えるでしょう。
認証不要のRCE:FortiClient EMSの致命的な脆弱性
今回の脆弱性「CVE-2026-35616」は、FortiClient EMSのAPIにおける不適切なアクセス制御に起因するものであり、認証されていない攻撃者が認証および認可の保護を完全に回避し、基盤となるサーバー上でコード実行を達成できるという極めて危険な性質を持っています。これにより、攻撃者は有効なクレデンシャルやユーザーの操作なしに、システムの制御を奪うことが可能となります。
FortiClient EMSは、企業のエンドポイント管理ソリューションとして、FortiClientの展開を一元的に管理するために利用されています。具体的には、セキュリティポリシーの適用、VPN構成、アプリケーションファイアウォール規則、エンドポイントのコンプライアンス状況などを大規模に管理する役割を担っています。そのため、このEMSサーバーが侵害されると、攻撃者はエンドポイント構成を操作し、悪意のあるポリシーをプッシュし、さらに広範な環境へと横展開する能力を獲得してしまいます。
影響を受けるバージョンはFortiClient EMS 7.4.5および7.4.6であり、これらのバージョンはホットフィックスが適用されていない限り脆弱な状態にありました。一方で、FortiClient EMS 7.2およびそれ以前のバージョンは今回の脆弱性の影響を受けないとされています。この情報から、特に最新バージョンを利用している企業が緊急の対応を迫られたことが分かります。
この脆弱性の悪用は、理論的なリスクではなく、既に現実の脅威として顕在化していました。攻撃者は、開示が公になる前に既に影響を受ける環境に侵入していたとWatchTowrは指摘しています。これは、企業がゼロデイ脆弱性に対して常に警戒し、迅速なパッチ適用や代替策の実施が不可欠であることを強く示唆するものです。
広がる脅威の連鎖:2,000以上のシステムが晒された危機
このゼロデイ脆弱性の発見と悪用は、FortiClient EMSを取り巻くより広範なセキュリティ上の懸念を浮き彫りにしました。非営利団体であるThe Shadowserver Foundationは、インターネットからアクセス可能な約2,000のFortiClient EMSインスタンスを観測していると報告しています。これらのインスタンスは、今回の「CVE-2026-35616」だけでなく、最近パッチが適用された別のSQLインジェクション脆弱性「CVE-2026-21643」の悪用にも潜在的に晒されていると指摘されました。
「CVE-2026-21643」は、今回のゼロデイ脆弱性が公開される直前まで、既に1週間以上にわたって活発に悪用されていた別の深刻な脆弱性です。WatchTowrのベンジャミン・ハリスCEOが指摘したように、FortiClient EMSにおいて数週間のうちに2つ目の未認証脆弱性が公開されたことは、この製品のセキュリティ体制に対する懸念を深めるものです。現時点では、これら二つの脆弱性が特定の脅威アクターに帰属しているか、あるいは互いに関連しているかは確認されていません。
FortiClient EMSが企業のエンドポイントセキュリティにおいて中心的な役割を果たすことを考えると、このような連続した重大な脆弱性の悪用は、企業にとって極めて深刻なリスクを意味します。攻撃者は、EMSサーバーを侵害することで、デバイスポリシーの操作、VPNアクセス管理の乗っ取り、アプリケーションおよびコンプライアンス制御の改ざんなど、広範囲にわたる悪質な活動を展開する足がかりを得ることが可能になります。
このような状況は、企業が自社の攻撃対象領域を継続的に監視し、インターネットに公開されているシステム、特に特権的なアクセスを持つ管理システムに対して、最大限の注意を払う必要性を強調しています。約2,000ものインスタンスがインターネットに公開されているという事実は、多くの組織が潜在的な脅威に晒されていることを示しており、緊急の対応が不可欠であることを物語っています。
迅速な対応とCISAの警告:時間との戦い
Fortinetは、この緊急事態に対応するため、FortiClient EMSバージョン7.4.5および7.4.6向けにアウトオブバンドのホットフィックスを迅速にリリースしました。このホットフィックスは、システムダウンタイムを必要とせずに脆弱性に対処できるため、企業は運用を継続しながらセキュリティを強化することが可能です。恒久的な修正は、今後リリースされるFortiClient EMS 7.4.7に含まれる予定ですが、それまではホットフィックスが唯一の推奨される緩和策となります。
この脆弱性の発見と報告には、セキュリティ研究グループ「Defused」が貢献しました。Defusedは、実環境での悪用を観測した後、責任ある開示の原則に基づきFortinetに報告しました。このようなセキュリティコミュニティとベンダー間の協力は、ゼロデイ攻撃の脅威に迅速に対処し、被害の拡大を防ぐ上で不可欠な要素です。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)も、この脆弱性の深刻さを認識し、2026年4月6日(月曜日)に「CVE-2026-35616」を既知の悪用済み脆弱性(KEV)カタログに追加しました。CISAは、連邦政府機関に対し、この脆弱性を2026年4月9日までにパッチ適用するよう緊急の指示を出しました。これは、この脆弱性が国家レベルのセキュリティリスクと見なされていることを明確に示しています。
CISAによるKEVカタログへの追加は、この脆弱性が既に活発に悪用されており、連邦政府機関を含む全ての組織にとって差し迫った脅威であることを意味します。この警告は、単に政府機関に限定されるものではなく、FortiClient EMSを使用する全ての企業に対し、パッチ適用を最優先事項として扱うよう促す強いメッセージとなっています。時間との戦いの中で、迅速かつ徹底した対応が求められています。
企業が直面する課題:ゼロデイ後の防御戦略
今回のFortiClient EMSゼロデイ攻撃は、企業が直面する現代のサイバー脅威の複雑さと、それに対する防御戦略の重要性を改めて浮き彫りにしました。WatchTowrは、影響を受ける組織に対し、FortiClient EMSが環境に展開されているかを確認し、インストールされているバージョンを特定することを最優先事項として挙げています。特にインターネットに公開されているインスタンスは、最も高い優先度で対応すべきだと強調されています。
Fortinetは侵害の痕跡(IOC)を公開していないため、現在のところ、検出はログレビューと設定監査に依存しています。企業は、EMSサーバー上の異常なAPIリクエストや予期せぬ活動がないか、利用可能なログを徹底的にレビューする必要があります。また、エンドポイントセキュリティポリシー、VPN構成プロファイル、アプリケーションファイアウォール規則、管理者アカウント、アクセス制御、エンドポイントコンプライアンス構成など、広範囲にわたる設定の不正な変更がないか監査することが不可欠です。
もし侵害が疑われる場合、WatchTowrは、影響を受けたインスタンスをその場でクリーンアップしようとせず、侵害が疑われる期間以前に取得した既知の良好なバックアップから復元するか、EMSインスタンスを再構築してデータを移行することを推奨しています。整合性が確実に検証できない場合、完全な再構築が最も防御力の高いアプローチであるとされています。
この事件は、WatchTowrが提唱する「先制的露出管理(Preemptive Exposure Management)」の重要性を示す事例でもあります。プロアクティブな脅威インテリジェンスと外部攻撃対象領域管理を組み合わせることで、WatchTowrは組織が実際の露出を継続的に特定し、検証することを支援しています。攻撃が数時間で発生する現代において、このようなアプローチは、セキュリティチームが脅威に先んじて対応するための貴重な時間を提供します。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Fortinet Rushes Emergency Fixes for Exploited Zero-Day - https://www.securityweek.com/fortinet-rushes-emergency-fixes-for-exploited-zero-day/
- -Fortinet FortiClient EMS Zero-Day: CVE-2026-35616 (Active Exploitation Underway) | watchTowr - https://watchtowr.com/resources/fortinet-forticlient-ems-zero-day-cve-2026-35616-active-exploitation-underway/