FortiClient EMS脆弱性 CVE-2026-35616（CVSS 9.8）｜認証不要RCEの緊急ホットフィックスと企業の即時対応

結論：FortiClient EMS 7.4.5/7.4.6 を使用中の企業は、4月4日公開のホットフィックスを今すぐ適用してください

FortiClient EMS の脆弱性 CVE-2026-35616（FG-IR-26-099） について、新たな動きがあった。CVSSスコアが当初の9.1から9.8（Critical）に引き上げられ、野生（in the wild）での悪用が複数の情報源で確認されている。シンガポールのサイバーセキュリティ庁（CSA）も4月上旬に注意喚起を発出した。

Fortinet は4月4日に緊急ホットフィックスをリリース済みだ。さらに、恒久対策となる FortiClient EMS 7.4.7 も公開されている。

まだパッチを適用していない企業は、今日中に対応を完了してほしい。認証なし・リモートから任意コード実行が可能なこの脆弱性は、パッチ未適用のまま放置すれば、管理下の全端末が危険にさらされる。

---

CVE-2026-35616 の最新情報まとめ

項目	内容
CVE番号	CVE-2026-35616
Fortinet Advisory	FG-IR-26-099
CVSSv3 スコア	9.8（Critical） ※当初9.1から引き上げ
脆弱性の種類	不適切なアクセス制御（CWE-284）
攻撃の前提条件	認証不要・リモートから実行可能
影響を受けるバージョン	FortiClient EMS 7.4.5 および 7.4.6
悪用状況	野生で悪用確認済み（in the wild）
ホットフィックス公開日	2026年4月4日
恒久修正バージョン	FortiClient EMS 7.4.7
CISA KEV 追加日	2026年4月6日
CSA Singapore 注意喚起	2026年4月上旬

---

なぜ CVSS が 9.1 から 9.8 に引き上げられたのか

当初の評価では CVSS 9.1 とされていたが、その後の分析で攻撃の影響範囲と悪用の容易さが再評価され、9.8（Critical） に引き上げられた。

CVSS 9.8 は、事実上の「最悪に近いスコア」だ。以下の3要素がすべて揃っている。

1. 認証が不要 --- ユーザー名もパスワードも必要ない
2. リモートから攻撃可能 --- インターネット経由で攻撃が成立する
3. 任意コード実行（RCE） --- 攻撃者がサーバー上で好きなプログラムを動かせる

FortiClient EMS はエンドポイントの一元管理サーバーだ。ここが陥落すれば、管理下の全端末にマルウェアを配布したり、セキュリティポリシーを無効化したりできる。1台のサーバーの侵害が、組織全体のセキュリティ崩壊に直結する。

---

野生での悪用とシンガポール CSA の注意喚起

実攻撃の確認

CyberSecurityNews の報道によると、CVE-2026-35616 を悪用した攻撃が 3月31日時点で確認 されている。ホットフィックスの公開（4月4日）より前に攻撃が開始されていたことから、一定期間は ゼロデイ状態 だったことになる。

CISA は4月6日に KEV（既知の悪用済み脆弱性）カタログに追加し、米国連邦機関に対して 4月9日までの修正 を命じた。

シンガポール CSA の対応

シンガポールのサイバーセキュリティ庁（CSA）も本脆弱性に関する注意喚起を発出している。アジア太平洋地域のセキュリティ機関が注意喚起を出す事実は、攻撃がグローバルに拡大していることの裏付け だ。日本企業も例外ではない。

Fortinet 製品は日本のネットワーク機器市場で高いシェアを持つ。特に VPN 関連の脆弱性は、過去にも日本企業を標的としたランサムウェア攻撃で繰り返し悪用されてきた。

---

---

企業が今すぐ実施すべき3ステップの対策

ステップ1：ホットフィックスを適用し、7.4.7 へアップグレードする

最優先はパッチの適用だ。

1. Fortinet サポートサイト（support.fortinet.com）にログインする
2. FortiClient EMS 7.4.5/7.4.6 向け 緊急ホットフィックス（4月4日リリース） をダウンロードする
3. テスト環境がある場合は事前検証を推奨するが、野生で悪用確認済みのため速度を最優先 とする
4. ホットフィックス適用後、EMS サービスを再起動する
5. さらに、恒久修正版である FortiClient EMS 7.4.7 へのアップグレードを速やかに計画する

ホットフィックスはあくまで暫定対応だ。7.4.7 へのアップグレードで恒久的に脆弱性を解消すること。

ステップ2：侵害の痕跡（IoC）を調査する

3月31日から攻撃が確認されているため、過去2週間以上のログを重点的に確認 する。

確認項目	調査方法
不審な API リクエスト	EMS サーバーのアクセスログを確認
予定外のポリシー変更	EMS 管理コンソールの変更履歴を確認
異常な外部通信	ネットワークログで EMS からの不審な送信先を調査
不審なプロセス・サービス	Windows イベントログで新規プロセスの生成を確認
マルウェアの痕跡	EMS サーバー上のファイルスキャンを実施

不審な痕跡が見つかった場合は、即座にネットワークから隔離し、インシデント対応チームまたは外部専門機関に連絡 すること。パッチを適用しただけでは、すでに設置されたバックドアは除去されない。

ステップ3：ネットワークアクセスを制限する

パッチ適用後も、以下の恒久対策を実施する。

• EMS サーバーの管理 API を 信頼できる IP アドレスのみに制限 する
• EMS サーバーを 管理用 VLAN に隔離 し、一般ネットワークから分離する
• ファイアウォールで EMS への 不要なポートを遮断 する
• 管理者アカウントのパスワードを変更し、多要素認証（MFA）を有効化 する
• Fortinet のセキュリティアドバイザリ（FortiGuard PSIRT）の RSS フィードを購読 し、今後の脆弱性情報を即座に受け取れる体制を構築する

---

まとめ

項目	ポイント
脆弱性	CVE-2026-35616（FG-IR-26-099）
深刻度	CVSS 9.8（Critical） ※9.1から引き上げ
影響	FortiClient EMS 7.4.5/7.4.6 の管理サーバーを完全掌握される
攻撃条件	認証不要、リモートから任意コード実行可能
悪用状況	野生で悪用確認済み（3月31日〜）
緊急対応	4月4日リリースのホットフィックスを即時適用
恒久対応	FortiClient EMS 7.4.7 へアップグレード

CVSS 9.1 から 9.8 への引き上げ、野生での悪用確認、複数の国際セキュリティ機関からの注意喚起。これらはすべて、今すぐ行動すべきというシグナルだ。「来週やろう」では遅い。

---

---

よくある質問

Q. 以前の記事では CVSS 9.1 と書かれていましたが、9.8 に変わったのですか？ A. はい。CVE-2026-35616 のCVSSスコアは、攻撃の影響範囲と悪用の容易さが再評価された結果、9.1 から 9.8 に引き上げられました。スコアの上昇は、当初の想定よりも深刻な脆弱性であることを意味します。まだ対応が済んでいない場合は、最優先で対処してください。

Q. ホットフィックスと 7.4.7 の違いは何ですか？ A. 4月4日にリリースされたホットフィックスは、CVE-2026-35616 を緊急修正するための暫定パッチです。一方、7.4.7 はホットフィックスの内容を含む正式な修正バージョンです。まずホットフィックスで脆弱性を塞ぎ、その後 7.4.7 にアップグレードするのが推奨手順です。

Q. FortiClient EMS のバージョンが 7.4.4 以下、または 7.6 系の場合は影響を受けますか？ A. Fortinet のアドバイザリ（FG-IR-26-099）によると、影響を受けるバージョンは FortiClient EMS 7.4.5 および 7.4.6 です。7.4.4 以下や 7.6 系は本脆弱性の直接的な影響を受けません。ただし、Fortinet 製品には他の脆弱性も存在するため、常に最新バージョンを維持することを推奨します。

---

参考情報

• Fortinet PSIRT Advisory: FG-IR-26-099（FortiClient EMS - Critical Vulnerability）
• CyberSecurityNews: FortiClient EMS CVE-2026-35616 Active Exploitation Report
• CISA Known Exploited Vulnerabilities Catalog（CVE-2026-35616 追加: 2026年4月6日）
• CSA Singapore: Advisory on FortiClient EMS Vulnerability（2026年4月）
• NIST National Vulnerability Database: CVE-2026-35616

---