2026年4月4日、Fortinet は FortiClient EMS(Endpoint Management Server) に存在する重大な脆弱性 CVE-2026-35616(CVSS 9.1) に対するホットフィックスをリリースした。その2日後の4月6日、米国 CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)は本脆弱性を Known Exploited Vulnerabilities(KEV)カタログに追加した。
KEV追加は、実際の攻撃で悪用が確認された(active exploitation) ことを意味する。理論上のリスクではなく、今まさに攻撃者がこの脆弱性を使って企業ネットワークに侵入しているということだ。
FortiClient EMS を利用している企業は、本日中にホットフィックスの適用を完了してほしい。
目次
- 脆弱性の概要と深刻度
- FortiClient EMSとは——企業での利用シーン
- 影響を受けるバージョンと修正バージョン
- 緊急対応手順(4ステップ)
- CISA KEV追加の意味——日本企業にとっての基準
- Fortinet製品のセキュリティ運用の見直し
- よくある質問(FAQ)
脆弱性の概要と深刻度
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| CVSSスコア | 9.1(Critical) |
| 脆弱性の種類 | 未認証のリモートコード実行(RCE) |
| 攻撃条件 | リモートから・認証不要・細工したリクエストのみで攻撃成立 |
| 影響 | 攻撃者がEMSサーバー上で任意のコードを実行可能 |
| ホットフィックスリリース日 | 2026年4月4日 |
| CISA KEV追加日 | 2026年4月6日 |
| 悪用状況 | 実悪用確認済み(active exploitation) |
攻撃の仕組み
CVE-2026-35616 は、FortiClient EMS の管理インターフェースにおける入力値検証の不備に起因する。未認証のリモート攻撃者が、細工したリクエストを EMS サーバーに送信するだけで、サーバー上で任意のコードを実行できる。
攻撃が成立した場合の影響は以下の通りだ。
- EMSサーバーの完全な制御権の奪取——管理者権限でのコマンド実行
- 管理下の全エンドポイントへの攻撃——EMSからポリシーを変更し、マルウェアを配布
- VPN設定の改ざん——VPN接続先を攻撃者のサーバーに変更し、通信を傍受
- 社内ネットワークへの横展開——EMSが持つネットワーク情報を利用した他サーバーへの侵入
FortiClient EMSは企業のエンドポイント管理の中核を担う製品であるため、EMSが侵害されると管理下の全デバイスが危険にさらされる。
セクションまとめ: CVE-2026-35616はCVSS 9.1の未認証RCE。EMSサーバーを完全に掌握し、管理下の全エンドポイントに被害を拡大できる極めて深刻な脆弱性だ。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
FortiClient EMSとは——企業での利用シーン
FortiClient EMS(Endpoint Management Server)は、Fortinet が提供する企業のエンドポイント一元管理サーバーだ。以下の機能を担っている。
| 機能 | 内容 | 利用シーン |
|---|---|---|
| デバイス管理 | 社内PC・モバイルの一元管理 | リモートワーク端末の把握・制御 |
| ポリシー配布 | セキュリティポリシーの一括配布 | ウイルス対策・ファイアウォール設定の統一 |
| VPN設定 | FortiClient VPNの設定配布 | リモートアクセスVPNの管理 |
| コンプライアンス確認 | 端末のセキュリティ状態チェック | OSパッチ適用状況、ウイルス対策の有効性確認 |
| テレメトリ収集 | 端末のセキュリティイベント収集 | インシデント検知・調査 |
日本企業での利用実態
Fortinet製品は日本のUTM(統合脅威管理)市場でトップシェアを占めており、中小企業から大企業まで広く採用されている。特に以下のケースでFortiClient EMSが利用されている。
- FortiGateを導入済みの企業がエンドポイント管理を統合するケース
- リモートワーク対応でVPN接続の管理が必要なケース
- ISMS/Pマークの取得に伴い、端末のコンプライアンス管理が必要なケース
セクションまとめ: FortiClient EMSは企業のエンドポイント管理の中核製品。VPN設定、ポリシー配布、デバイス管理を一元化しており、侵害されると全端末に被害が及ぶ。
「FortiClient EMSのバージョン、すぐに確認できますか?」
脆弱性の影響調査からホットフィックス適用、ログ調査まで対応しています。FortiGate・FortiClient環境のセキュリティ運用を一括で支援します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
影響を受けるバージョンと修正バージョン
Fortinet のセキュリティアドバイザリに基づき、影響を受けるバージョンと修正バージョンを以下に整理する。
| 製品 | 影響を受けるバージョン | 修正バージョン |
|---|---|---|
| FortiClient EMS | ホットフィックス適用前のバージョン | 2026年4月4日リリースのホットフィックス適用済みバージョン |
注意: 正確な影響バージョンの範囲は、Fortinet のセキュリティアドバイザリ(FG-IR-2026-XXXX)を必ず確認してほしい。ホットフィックスは Fortinet サポートサイトからダウンロード可能だ。
緊急対応手順(4ステップ)
ステップ1:バージョン確認
FortiClient EMS 管理コンソールにログインし、現在のバージョンを確認する。
確認方法:
- FortiClient EMS 管理コンソール(通常
https://<EMS-IP>:443)にアクセス - 「About」 または 「ヘルプ」→「バージョン情報」 でバージョンを確認
- ホットフィックスが適用されていない場合、脆弱性の影響を受ける
ステップ2:ホットフィックスの適用
Fortinet サポートサイトから最新のホットフィックスをダウンロードし、適用する。
適用手順の概要:
- Fortinet サポートサイト(support.fortinet.com)にログイン
- FortiClient EMS のホットフィックスをダウンロード
- メンテナンスウィンドウを設定し、ホットフィックスを適用
- EMSサービスの再起動を実施
- 管理コンソールでバージョンが更新されていることを確認
- 管理下の全端末との通信が正常であることを確認
注意: 本脆弱性は実悪用が確認されているため、メンテナンスウィンドウを待たずに可能な限り早急に適用すべきだ。
ステップ3:ログ調査
ホットフィックス適用前に、すでに攻撃を受けていないかをログで確認する。
確認すべきログ:
- FortiClient EMS のアクセスログ——不審なリクエストパターン
- Windowsイベントログ——EMSサーバー上の不審なプロセス起動
- ネットワークログ——EMSサーバーからの異常な外部通信
ステップ4:IOC(侵害指標)の確認
セキュリティベンダーや JPCERT/CC が公開する IOC(Indicators of Compromise)を確認し、自社環境に一致するものがないかチェックする。
| IOCの種類 | 確認方法 |
|---|---|
| 不審なIPアドレス | ファイアウォールログとの照合 |
| 不審なファイルハッシュ | EMSサーバー上のファイルスキャン |
| 不審なプロセス名 | タスクマネージャー/プロセスモニタでの確認 |
| 不審なスケジュールタスク | Windowsタスクスケジューラの確認 |
セクションまとめ: 緊急対応は「バージョン確認→ホットフィックス適用→ログ調査→IOC確認」の4ステップ。実悪用が確認されているため、メンテナンスウィンドウを待たず即座に対応すべきだ。
CISA KEV追加の意味——日本企業にとっての基準
CISA KEVカタログとは
CISA KEV(Known Exploited Vulnerabilities)カタログは、米国 CISA が管理する**「実際に悪用が確認された脆弱性」のリスト**だ。理論上のリスクではなく、攻撃者が現在進行形で利用している脆弱性のみが掲載される。
| 項目 | 内容 |
|---|---|
| 管理機関 | 米国CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁) |
| 掲載基準 | 実際の攻撃での悪用が確認された脆弱性のみ |
| 米国連邦機関の義務 | KEV掲載後 14日以内 に対応を完了する義務 |
| 掲載数 | 2026年4月時点で約1,200件超 |
日本企業が参照すべき理由
CISA KEV は米国連邦機関に対する法的拘束力を持つが、日本企業にとっても最も信頼性の高い脆弱性対応の優先度指標として活用できる。
理由は以下の通りだ。
- 「実際に悪用されている」ことが確認済み——理論上の脆弱性ではなく、現実のリスク
- CVSSスコアだけでは判断できない優先度を補完——CVSS 7.0でもKEVに掲載されていれば即時対応が必要
- IPAやJPCERT/CCの注意喚起の先行指標になることが多い
推奨: 自社の脆弱性管理プロセスに「CISA KEV に掲載された脆弱性は 72時間以内に対応を完了する」というルールを追加することを強く推奨する。
セクションまとめ: CISA KEV追加は「実際に悪用されている」ことの確認。米国連邦機関は14日以内の対応が義務だが、日本企業も同等の基準で対応すべきだ。
Fortinet製品のセキュリティ運用の見直し
Fortinet 製品はここ数年、重大な脆弱性が繰り返し発見されている。FortiGate、FortiOS、FortiClient EMS など、企業のセキュリティ基盤を担う製品であるだけに、脆弱性が発見された際の影響は甚大だ。
Fortinet製品を安全に運用するための5つの原則
| 原則 | 具体的なアクション |
|---|---|
| 1. ファームウェアを最新に保つ | 四半期ごとのアップデートサイクルを確立。セキュリティパッチは即時適用 |
| 2. 管理インターフェースのアクセス制限 | 管理画面はVPN経由または特定IPのみからアクセス可能にする |
| 3. Fortinetのセキュリティアドバイザリを監視 | FortiGuard PSIRTのRSSフィードを購読し、新規脆弱性を即座に把握 |
| 4. ログの集中管理と監視 | FortiAnalyzer等でログを集中管理し、異常を検知する体制を構築 |
| 5. 定期的な設定レビュー | 半年ごとにファイアウォールルール・VPN設定の棚卸しを実施 |
管理インターフェースの公開状況を即座に確認
FortiClient EMS の管理インターフェースがインターネットに公開されていないか、今すぐ確認してほしい。以下の状態であれば危険だ。
- EMSの管理ポート(デフォルト443)がインターネットから直接アクセス可能
- 管理画面へのアクセスにIPアドレス制限がかけられていない
- VPNを経由せず管理画面にアクセスしている
セクションまとめ: Fortinet製品は重大な脆弱性が繰り返し発見されている。ファームウェアの最新化、管理インターフェースのアクセス制限、セキュリティアドバイザリの監視を徹底すべきだ。
関連記事:ゼロトラストセキュリティ導入ガイド 関連記事:セキュリティポリシーテンプレート 中小企業ガイド
よくある質問(FAQ)
Q1. FortiClient(エンドポイントエージェント)も影響を受けますか?
今回の CVE-2026-35616 は FortiClient EMS(管理サーバー) の脆弱性であり、エンドポイントにインストールされている FortiClient エージェント自体は直接の影響を受けません。ただし、EMSサーバーが侵害された場合、EMSを通じてエージェントに不正なポリシーや設定が配布されるリスクがあります。
Q2. FortiGate(ファイアウォール)は影響を受けますか?
CVE-2026-35616 は FortiClient EMS に限定された脆弱性であり、FortiGate には直接の影響はありません。ただし、FortiGate と FortiClient EMS が連携している場合、EMSの侵害を通じて間接的にFortiGateの設定が改ざんされるリスクは存在します。
Q3. EMSサーバーをオンプレミスで運用しています。クラウド版に移行すべきですか?
クラウド版(FortiClient Cloud)への移行は、パッチ適用の迅速化やインフラ管理の負荷軽減というメリットがあります。ただし、クラウド版でも脆弱性が発見される可能性はあるため、移行自体が根本的な対策ではありません。まずは現在のEMSにホットフィックスを適用することが最優先です。
Q4. CISA KEVに追加されたということは、日本企業への攻撃も行われていますか?
CISA KEV は主に米国での攻撃を基に追加されますが、Fortinet 製品は日本でも広く利用されているため、日本企業への攻撃も十分に想定されます。特にVPN関連の脆弱性は、日本企業を標的としたランサムウェア攻撃で頻繁に悪用されています。
参考情報
- Fortinet PSIRT Advisory「FortiClient EMS - Critical Vulnerability」(2026年4月4日)
- CISA「Known Exploited Vulnerabilities Catalog」(CVE-2026-35616追加: 2026年4月6日)
- NIST National Vulnerability Database「CVE-2026-35616」
- JPCERT/CC「Fortinet製品の脆弱性に関する注意喚起」
関連記事
Fortinet製品のセキュリティ運用、見直しが必要ではありませんか?
「ホットフィックスを適用したいが手順に不安がある」「管理画面がインターネットに公開されていないか確認したい」「Fortinet製品全体のセキュリティ設定を一度レビューしたい」——そんな課題をお持ちなら、まずは現状の脆弱性診断から始めましょう。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK