CVSSv3 スコア 9.1(Critical)、認証不要でリモートから任意コード実行が可能。 Fortinet は2026年4月4日、エンドポイント管理サーバー FortiClient EMS に存在するゼロデイ脆弱性 CVE-2026-35616(FG-IR-26-099)に対する緊急ホットフィックスをリリースした。CISA は4月6日、本脆弱性を KEV(既知の悪用済み脆弱性)カタログ に追加し、連邦機関に 4月9日までの即時修正 を命じている。
この脆弱性は何が危険なのか
CVE-2026-35616 は、FortiClient EMS の API における 不適切なアクセス制御(CWE-284) の脆弱性だ。攻撃者は特別に細工したリクエストを送信するだけで、認証をバイパスし、EMS プロセスと同等の権限で 任意のコードを実行 できる。
FortiClient EMS は、企業のエンドポイントを 一元管理 するサーバーだ。ここが陥落すれば、管理下にある全端末へのポリシー変更、ソフトウェア配信、セキュリティ設定の改ざんが可能になる。つまり、1台のサーバーを突破されるだけで、全社のエンドポイントが危険にさらされる。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| Fortinet Advisory | FG-IR-26-099 |
| CVSS v3 スコア | 9.1(Critical) |
| 脆弱性の種類 | 不適切なアクセス制御(CWE-284) |
| 攻撃の前提条件 | 認証不要・リモートから実行可能 |
| 影響を受けるバージョン | FortiClient EMS 7.4.5 および 7.4.6 |
| 悪用開始日 | 2026年3月31日(確認済み) |
| ホットフィックス公開日 | 2026年4月4日 |
| CISA KEV 追加日 | 2026年4月6日 |
| CISA 修正期限 | 2026年4月9日(連邦機関向け) |
| 推奨対応 | ホットフィックス適用 → 7.4.7 へアップグレード |
なぜ今回の脆弱性が深刻なのか——3つの理由
理由①:EMS を乗っ取れば「全端末」を掌握できる
FortiClient EMS はエンドポイントの ポリシー配信、ソフトウェア展開、VPN設定、セキュリティ構成 を一元管理するサーバーだ。攻撃者がEMSを掌握すると、管理下の全端末に対して以下が可能になる。
- セキュリティポリシーの無効化
- 悪意あるソフトウェアの一斉配信
- VPN設定の改ざんによる通信傍受
- エンドポイント保護機能の停止
単一のサーバー侵害が 組織全体のセキュリティ崩壊 につながる点で、影響範囲は極めて大きい。
理由②:認証なし・リモートから攻撃可能
本脆弱性の攻撃には、正規の認証情報は一切不要 だ。EMS の API がインターネットまたは社内ネットワークからアクセス可能な状態にあれば、攻撃者は細工したリクエストを送信するだけで任意のコードを実行できる。パスワードの強度や多要素認証は この脆弱性に対しては無力 だ。
理由③:すでに実環境で悪用されている
CISA が KEV カタログに追加した事実は、実際の攻撃が確認されている ことを意味する。最初の悪用試行は 3月31日 に検知されており、ホットフィックス公開前から攻撃が行われていた。パッチ未適用の組織は、すでに侵害されている可能性がある。
【影響確認チェックリスト】自社は大丈夫か?
以下の項目を確認してほしい。
- [ ] 自社で FortiClient EMS を使用しているか把握しているか
- [ ] 使用している場合、バージョンは 7.4.5 または 7.4.6 に該当するか
- [ ] EMS サーバーの API が インターネットに公開されていないか
- [ ] ホットフィックスは 適用済み か
- [ ] EMS サーバーのアクセスログに 不審なAPIリクエスト がないか
- [ ] EMS から管理端末への 異常なポリシー変更や配信 が発生していないか
- [ ] インシデント対応フローは文書化されているか
1つでもチェックが付かない項目があれば、以下の対策ステップに進んでほしい。
「うちの環境は大丈夫?」と少しでも不安を感じたら
FortiClient EMSの脆弱性対応や、エンドポイント管理のセキュリティ強化について専門チームに相談できます。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
企業が今すぐ実施すべき3ステップの対策
ステップ1:ホットフィックスを即時適用する
最優先は パッチの適用 だ。
- Fortinet サポートサイトから FortiClient EMS 7.4.5/7.4.6 向けホットフィックスをダウンロード
- テスト環境がある場合は事前検証を推奨(ただし、悪用が確認されているため 速度を優先)
- 適用後、EMS サービスを再起動
- バージョン 7.4.7 が公開され次第、フルアップグレードを計画
注意: ホットフィックス適用前に侵害を受けている可能性がある。パッチ適用だけで安心せず、ステップ2に進むこと。
ステップ2:侵害の痕跡(IoC)を調査する
3月31日以降に攻撃が開始されているため、過去10日間のログを重点的に確認 する。
- EMS サーバーのアクセスログに 異常な API リクエスト がないか確認
- EMS から管理端末に対する 予定外のポリシー変更 がないか確認
- ネットワークログで EMS サーバーからの 異常な外部通信 を調査
- Windows イベントログで 新規プロセスの生成、サービスの追加 を確認
不審な痕跡が見つかった場合は、即座にインシデント対応チームまたは外部専門機関に連絡 すること。
ステップ3:ネットワークアクセスを制限する
パッチ適用後も、以下の恒久対策を実施する。
- EMS サーバーの管理 API を 信頼できるIPアドレスのみに制限
- EMS サーバーを 管理用VLANに隔離 し、一般ネットワークから分離
- ファイアウォールで EMS への 不要なポート を遮断
- 管理者アカウントのパスワードを変更し、MFA を有効化
長期的なセキュリティ強化のポイント
脆弱性管理の自動化
管理サーバーの脆弱性は、エンドポイント自体の脆弱性よりも 影響範囲が桁違いに大きい。脆弱性情報の自動収集と、影響を受ける資産の特定を自動化する仕組みを導入すべきだ。
管理サーバーのゼロトラスト化
「社内ネットワークにあるから安全」という前提は崩壊している。管理サーバーへのアクセスを 最小権限の原則 で設計し、すべてのアクセスを検証する体制が必要だ。
インシデント対応訓練の実施
CISA の修正期限は わずか3日間 だった。この速度感で対応できる体制を持つ企業は多くない。定期的な訓練で、パッチ適用やインシデント対応のスピードを向上させることが重要だ。
まとめ
| 項目 | ポイント |
|---|---|
| 脆弱性 | CVE-2026-35616(CVSS 9.1、Critical) |
| 影響 | FortiClient EMS 7.4.5/7.4.6 の管理サーバーを完全掌握される |
| 攻撃条件 | 認証不要、リモートから実行可能 |
| 現状 | 実環境での悪用を確認済み(3月31日〜) |
| 対応 | ホットフィックス即時適用 → IoC調査 → ネットワーク制限 |
FortiClient EMS のセキュリティ対策、専門家と一緒に進めませんか?
脆弱性診断からインシデント対応体制の構築まで、中小企業に特化したセキュリティ支援を提供しています。
※ まずは現状のリスクを可視化するところから | オンライン完結OK
よくある質問
Q. FortiClient EMS を使っていない場合、影響はありますか? A. FortiClient EMS 7.4.5/7.4.6 以外のバージョン、および FortiClient EMS を使用していない環境には影響はありません。ただし、他の Fortinet 製品をお使いの場合は、最新のセキュリティアドバイザリを定期的に確認することを推奨します。
Q. ホットフィックスを適用すれば安全ですか? A. ホットフィックスは今後の攻撃を防ぎますが、適用前に侵害を受けている可能性があります。必ずステップ2のIoC調査を実施してください。
Q. CISA の期限は日本企業にも適用されますか? A. CISA の修正期限は米国連邦機関向けですが、脆弱性の深刻度を示す指標として捉えるべきです。日本企業も同等の緊急度で対応することを強く推奨します。
Q. 社内にセキュリティ専門家がいない場合、どうすれば? A. 外部のセキュリティ専門企業に相談することを推奨します。GXOでは中小企業向けのセキュリティ診断・対応支援を提供しています。
参考情報
- Fortinet PSIRT: FG-IR-26-099
- CISA Known Exploited Vulnerabilities Catalog
- CVE-2026-35616 (NVD)