CVSSv3 スコア 9.1(Critical)、認証不要でリモートから任意コード実行が可能。 Fortinet は2026年4月4日、エンドポイント管理サーバー FortiClient EMS に存在するゼロデイ脆弱性 CVE-2026-35616(FG-IR-26-099)に対する緊急ホットフィックスをリリースした。CISA は4月6日、本脆弱性を KEV(既知の悪用済み脆弱性)カタログ に追加し、連邦機関に 4月9日までの即時修正 を命じている。
この脆弱性は何が危険なのか
CVE-2026-35616 は、FortiClient EMS の API における 不適切なアクセス制御(CWE-284) の脆弱性だ。攻撃者は特別に細工したリクエストを送信するだけで、認証をバイパスし、EMS プロセスと同等の権限で 任意のコードを実行 できる。
FortiClient EMS は、企業のエンドポイントを 一元管理 するサーバーだ。ここが陥落すれば、管理下にある全端末へのポリシー変更、ソフトウェア配信、セキュリティ設定の改ざんが可能になる。つまり、1台のサーバーを突破されるだけで、全社のエンドポイントが危険にさらされる。
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| Fortinet Advisory | FG-IR-26-099 |
| CVSS v3 スコア | 9.1(Critical) |
| 脆弱性の種類 | 不適切なアクセス制御(CWE-284) |
| 攻撃の前提条件 | 認証不要・リモートから実行可能 |
| 影響を受けるバージョン | FortiClient EMS 7.4.5 および 7.4.6 |
| 悪用開始日 | 2026年3月31日(確認済み) |
| ホットフィックス公開日 | 2026年4月4日 |
| CISA KEV 追加日 | 2026年4月6日 |
| CISA 修正期限 | 2026年4月9日(連邦機関向け) |
| 推奨対応 | ホットフィックス適用 → 7.4.7 へアップグレード |
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
なぜ今回の脆弱性が深刻なのか——3つの理由
理由①:EMS を乗っ取れば「全端末」を掌握できる
FortiClient EMS はエンドポイントの ポリシー配信、ソフトウェア展開、VPN設定、セキュリティ構成 を一元管理するサーバーだ。攻撃者がEMSを掌握すると、管理下の全端末に対して以下が可能になる。
- セキュリティポリシーの無効化
- 悪意あるソフトウェアの一斉配信
- VPN設定の改ざんによる通信傍受
- エンドポイント保護機能の停止
単一のサーバー侵害が 組織全体のセキュリティ崩壊 につながる点で、影響範囲は極めて大きい。
理由②:認証なし・リモートから攻撃可能
本脆弱性の攻撃には、正規の認証情報は一切不要 だ。EMS の API がインターネットまたは社内ネットワークからアクセス可能な状態にあれば、攻撃者は細工したリクエストを送信するだけで任意のコードを実行できる。パスワードの強度や多要素認証は この脆弱性に対しては無力 だ。
理由③:すでに実環境で悪用されている
CISA が KEV カタログに追加した事実は、実際の攻撃が確認されている ことを意味する。最初の悪用試行は 3月31日 に検知されており、ホットフィックス公開前から攻撃が行われていた。パッチ未適用の組織は、すでに侵害されている可能性がある。
【影響確認チェックリスト】自社は大丈夫か?
以下の項目を確認してほしい。
- 自社で FortiClient EMS を使用しているか把握しているか
- 使用している場合、バージョンは 7.4.5 または 7.4.6 に該当するか
- EMS サーバーの API が インターネットに公開されていないか
- ホットフィックスは 適用済み か
- EMS サーバーのアクセスログに 不審なAPIリクエスト がないか
- EMS から管理端末への 異常なポリシー変更や配信 が発生していないか
- インシデント対応フローは文書化されているか
1つでもチェックが付かない項目があれば、以下の対策ステップに進んでほしい。
「うちの環境は大丈夫?」と少しでも不安を感じたら
FortiClient EMSの脆弱性対応や、エンドポイント管理のセキュリティ強化について専門チームに相談できます。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
企業が今すぐ実施すべき3ステップの対策
ステップ1:ホットフィックスを即時適用する
最優先は パッチの適用 だ。
- Fortinet サポートサイトから FortiClient EMS 7.4.5/7.4.6 向けホットフィックスをダウンロード
- テスト環境がある場合は事前検証を推奨(ただし、悪用が確認されているため 速度を優先)
- 適用後、EMS サービスを再起動
- バージョン 7.4.7 が公開され次第、フルアップグレードを計画
注意: ホットフィックス適用前に侵害を受けている可能性がある。パッチ適用だけで安心せず、ステップ2に進むこと。
ステップ2:侵害の痕跡(IoC)を調査する
3月31日以降に攻撃が開始されているため、過去10日間のログを重点的に確認 する。
- EMS サーバーのアクセスログに 異常な API リクエスト がないか確認
- EMS から管理端末に対する 予定外のポリシー変更 がないか確認
- ネットワークログで EMS サーバーからの 異常な外部通信 を調査
- Windows イベントログで 新規プロセスの生成、サービスの追加 を確認
不審な痕跡が見つかった場合は、即座にインシデント対応チームまたは外部専門機関に連絡 すること。
ステップ3:ネットワークアクセスを制限する
パッチ適用後も、以下の恒久対策を実施する。
- EMS サーバーの管理 API を 信頼できるIPアドレスのみに制限
- EMS サーバーを 管理用VLANに隔離 し、一般ネットワークから分離
- ファイアウォールで EMS への 不要なポート を遮断
- 管理者アカウントのパスワードを変更し、MFA を有効化
長期的なセキュリティ強化のポイント
脆弱性管理の自動化
管理サーバーの脆弱性は、エンドポイント自体の脆弱性よりも 影響範囲が桁違いに大きい。脆弱性情報の自動収集と、影響を受ける資産の特定を自動化する仕組みを導入すべきだ。
管理サーバーのゼロトラスト化
「社内ネットワークにあるから安全」という前提は崩壊している。管理サーバーへのアクセスを 最小権限の原則 で設計し、すべてのアクセスを検証する体制が必要だ。
インシデント対応訓練の実施
CISA の修正期限は わずか3日間 だった。この速度感で対応できる体制を持つ企業は多くない。定期的な訓練で、パッチ適用やインシデント対応のスピードを向上させることが重要だ。
まとめ
横にスクロールして確認できます
| 項目 | ポイント |
|---|---|
| 脆弱性 | CVE-2026-35616(CVSS 9.1、Critical) |
| 影響 | FortiClient EMS 7.4.5/7.4.6 の管理サーバーを完全掌握される |
| 攻撃条件 | 認証不要、リモートから実行可能 |
| 現状 | 実環境での悪用を確認済み(3月31日〜) |
| 対応 | ホットフィックス即時適用 → IoC調査 → ネットワーク制限 |
FortiClient EMS のセキュリティ対策、専門家と一緒に進めませんか?
脆弱性診断からインシデント対応体制の構築まで、中小企業に特化したセキュリティ支援を提供しています。
※ まずは現状のリスクを可視化するところから | オンライン完結OK
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。FortiClient EMS ゼロデイ CVE-2026-35616|CVSS 9.1・CISA緊急警告の対策ガイドに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの実務補足
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問
Q. FortiClient EMS を使っていない場合、影響はありますか? A. FortiClient EMS 7.4.5/7.4.6 以外のバージョン、および FortiClient EMS を使用していない環境には影響はありません。ただし、他の Fortinet 製品をお使いの場合は、最新のセキュリティアドバイザリを定期的に確認することを推奨します。
Q. ホットフィックスを適用すれば安全ですか? A. ホットフィックスは今後の攻撃を防ぎますが、適用前に侵害を受けている可能性があります。必ずステップ2のIoC調査を実施してください。
Q. CISA の期限は日本企業にも適用されますか? A. CISA の修正期限は米国連邦機関向けですが、脆弱性の深刻度を示す指標として捉えるべきです。日本企業も同等の緊急度で対応することを強く推奨します。
Q. 社内にセキュリティ専門家がいない場合、どうすれば? A. 外部のセキュリティ専門企業に相談することを推奨します。GXOでは中小企業向けのセキュリティ診断・対応支援を提供しています。
参考情報
- Fortinet PSIRT: FG-IR-26-099
- CISA Known Exploited Vulnerabilities Catalog
- CVE-2026-35616 (NVD)






