結論:FortiClient EMS 7.4.5/7.4.6 を使用中の企業は、4月4日公開のホットフィックスを今すぐ適用してください
FortiClient EMS の脆弱性 CVE-2026-35616(FG-IR-26-099) について、新たな動きがあった。CVSSスコアが当初の9.1から9.8(Critical)に引き上げられ、野生(in the wild)での悪用が複数の情報源で確認されている。シンガポールのサイバーセキュリティ庁(CSA)も4月上旬に注意喚起を発出した。
Fortinet は4月4日に緊急ホットフィックスをリリース済みだ。さらに、恒久対策となる FortiClient EMS 7.4.7 も公開されている。
まだパッチを適用していない企業は、今日中に対応を完了してほしい。認証なし・リモートから任意コード実行が可能なこの脆弱性は、パッチ未適用のまま放置すれば、管理下の全端末が危険にさらされる。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
CVE-2026-35616 の最新情報まとめ
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| Fortinet Advisory | FG-IR-26-099 |
| CVSSv3 スコア | 9.8(Critical) ※当初9.1から引き上げ |
| 脆弱性の種類 | 不適切なアクセス制御(CWE-284) |
| 攻撃の前提条件 | 認証不要・リモートから実行可能 |
| 影響を受けるバージョン | FortiClient EMS 7.4.5 および 7.4.6 |
| 悪用状況 | 野生で悪用確認済み(in the wild) |
| ホットフィックス公開日 | 2026年4月4日 |
| 恒久修正バージョン | FortiClient EMS 7.4.7 |
| CISA KEV 追加日 | 2026年4月6日 |
| CSA Singapore 注意喚起 | 2026年4月上旬 |
なぜ CVSS が 9.1 から 9.8 に引き上げられたのか
当初の評価では CVSS 9.1 とされていたが、その後の分析で攻撃の影響範囲と悪用の容易さが再評価され、9.8(Critical) に引き上げられた。
CVSS 9.8 は、事実上の「最悪に近いスコア」だ。以下の3要素がすべて揃っている。
- 認証が不要 --- ユーザー名もパスワードも必要ない
- リモートから攻撃可能 --- インターネット経由で攻撃が成立する
- 任意コード実行(RCE) --- 攻撃者がサーバー上で好きなプログラムを動かせる
FortiClient EMS はエンドポイントの一元管理サーバーだ。ここが陥落すれば、管理下の全端末にマルウェアを配布したり、セキュリティポリシーを無効化したりできる。1台のサーバーの侵害が、組織全体のセキュリティ崩壊に直結する。
野生での悪用とシンガポール CSA の注意喚起
実攻撃の確認
CyberSecurityNews の報道によると、CVE-2026-35616 を悪用した攻撃が 3月31日時点で確認 されている。ホットフィックスの公開(4月4日)より前に攻撃が開始されていたことから、一定期間は ゼロデイ状態 だったことになる。
CISA は4月6日に KEV(既知の悪用済み脆弱性)カタログに追加し、米国連邦機関に対して 4月9日までの修正 を命じた。
シンガポール CSA の対応
シンガポールのサイバーセキュリティ庁(CSA)も本脆弱性に関する注意喚起を発出している。アジア太平洋地域のセキュリティ機関が注意喚起を出す事実は、攻撃がグローバルに拡大していることの裏付け だ。日本企業も例外ではない。
Fortinet 製品は日本のネットワーク機器市場で高いシェアを持つ。特に VPN 関連の脆弱性は、過去にも日本企業を標的としたランサムウェア攻撃で繰り返し悪用されてきた。
「うちの FortiClient EMS、まだパッチ当てていない...」
ホットフィックスの適用手順、侵害痕跡の調査、ネットワーク設計の見直しまで、専門チームがサポートします。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
企業が今すぐ実施すべき3ステップの対策
ステップ1:ホットフィックスを適用し、7.4.7 へアップグレードする
最優先はパッチの適用だ。
- Fortinet サポートサイト(support.fortinet.com)にログインする
- FortiClient EMS 7.4.5/7.4.6 向け 緊急ホットフィックス(4月4日リリース) をダウンロードする
- テスト環境がある場合は事前検証を推奨するが、野生で悪用確認済みのため速度を最優先 とする
- ホットフィックス適用後、EMS サービスを再起動する
- さらに、恒久修正版である FortiClient EMS 7.4.7 へのアップグレードを速やかに計画する
ホットフィックスはあくまで暫定対応だ。7.4.7 へのアップグレードで恒久的に脆弱性を解消すること。
ステップ2:侵害の痕跡(IoC)を調査する
3月31日から攻撃が確認されているため、過去2週間以上のログを重点的に確認 する。
横にスクロールして確認できます
| 確認項目 | 調査方法 |
|---|---|
| 不審な API リクエスト | EMS サーバーのアクセスログを確認 |
| 予定外のポリシー変更 | EMS 管理コンソールの変更履歴を確認 |
| 異常な外部通信 | ネットワークログで EMS からの不審な送信先を調査 |
| 不審なプロセス・サービス | Windows イベントログで新規プロセスの生成を確認 |
| マルウェアの痕跡 | EMS サーバー上のファイルスキャンを実施 |
不審な痕跡が見つかった場合は、即座にネットワークから隔離し、インシデント対応チームまたは外部専門機関に連絡 すること。パッチを適用しただけでは、すでに設置されたバックドアは除去されない。
ステップ3:ネットワークアクセスを制限する
パッチ適用後も、以下の恒久対策を実施する。
- EMS サーバーの管理 API を 信頼できる IP アドレスのみに制限 する
- EMS サーバーを 管理用 VLAN に隔離 し、一般ネットワークから分離する
- ファイアウォールで EMS への 不要なポートを遮断 する
- 管理者アカウントのパスワードを変更し、多要素認証(MFA)を有効化 する
- Fortinet のセキュリティアドバイザリ(FortiGuard PSIRT)の RSS フィードを購読 し、今後の脆弱性情報を即座に受け取れる体制を構築する
まとめ
横にスクロールして確認できます
| 項目 | ポイント |
|---|---|
| 脆弱性 | CVE-2026-35616(FG-IR-26-099) |
| 深刻度 | CVSS 9.8(Critical) ※9.1から引き上げ |
| 影響 | FortiClient EMS 7.4.5/7.4.6 の管理サーバーを完全掌握される |
| 攻撃条件 | 認証不要、リモートから任意コード実行可能 |
| 悪用状況 | 野生で悪用確認済み(3月31日〜) |
| 緊急対応 | 4月4日リリースのホットフィックスを即時適用 |
| 恒久対応 | FortiClient EMS 7.4.7 へアップグレード |
CVSS 9.1 から 9.8 への引き上げ、野生での悪用確認、複数の国際セキュリティ機関からの注意喚起。これらはすべて、今すぐ行動すべきというシグナルだ。「来週やろう」では遅い。
FortiClient EMS のセキュリティ対策、専門家と一緒に進めませんか?
ホットフィックス適用の手順確認、侵害痕跡の調査、エンドポイント管理環境のセキュリティ強化まで、中小企業に特化したセキュリティ支援を提供しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。FortiClient EMS脆弱性 CVE-2026-35616(CVSS 9.8)|認証不要RCEの緊急ホットフィックスと企業の即時対応に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
自社だけで整理が難しい場合、GXOは脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる。最初から大規模な発注を前提にせず、現状整理や診断から必要な範囲を確認できます。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問
Q. 以前の記事では CVSS 9.1 と書かれていましたが、9.8 に変わったのですか? A. はい。CVE-2026-35616 のCVSSスコアは、攻撃の影響範囲と悪用の容易さが再評価された結果、9.1 から 9.8 に引き上げられました。スコアの上昇は、当初の想定よりも深刻な脆弱性であることを意味します。まだ対応が済んでいない場合は、最優先で対処してください。
Q. ホットフィックスと 7.4.7 の違いは何ですか? A. 4月4日にリリースされたホットフィックスは、CVE-2026-35616 を緊急修正するための暫定パッチです。一方、7.4.7 はホットフィックスの内容を含む正式な修正バージョンです。まずホットフィックスで脆弱性を塞ぎ、その後 7.4.7 にアップグレードするのが推奨手順です。
Q. FortiClient EMS のバージョンが 7.4.4 以下、または 7.6 系の場合は影響を受けますか? A. Fortinet のアドバイザリ(FG-IR-26-099)によると、影響を受けるバージョンは FortiClient EMS 7.4.5 および 7.4.6 です。7.4.4 以下や 7.6 系は本脆弱性の直接的な影響を受けません。ただし、Fortinet 製品には他の脆弱性も存在するため、常に最新バージョンを維持することを推奨します。
参考情報
- Fortinet PSIRT Advisory: FG-IR-26-099(FortiClient EMS - Critical Vulnerability)
- CyberSecurityNews: FortiClient EMS CVE-2026-35616 Active Exploitation Report
- CISA Known Exploited Vulnerabilities Catalog(CVE-2026-35616 追加: 2026年4月6日)
- CSA Singapore: Advisory on FortiClient EMS Vulnerability(2026年4月)
- NIST National Vulnerability Database: CVE-2026-35616
付録:FortiClient EMS バージョン確認手順
FortiClient EMS のバージョンを確認する方法を以下に記載する。
- 管理コンソールにアクセス --- ブラウザで
https://<EMSサーバーのIPアドレス>:443を開く - 管理者アカウントでログイン する
- 「ヘルプ」→「バージョン情報」 または 「About」 をクリックする
- 表示されたバージョンが 7.4.5 または 7.4.6 であれば、本脆弱性の影響を受ける
- ホットフィックス適用後は、バージョン表記にホットフィックスの適用が反映されていることを確認する
CLI での確認方法:
diagnose system version
上記コマンドで EMS のバージョン情報が表示される。影響バージョンに該当する場合は、直ちにステップ1の対応に進んでほしい。





