結論:FortiClient EMSを使用している企業は、今すぐバージョンを確認し、ホットフィックスを適用してほしい。 2026年4月4日、FortinetはFortiClient EMSに存在するCriticalレベルの脆弱性CVE-2026-35616(FG-IR-26-099)に対する緊急パッチをリリースした。CISAは4月6日にKEV(既知の悪用済み脆弱性)カタログに追加しており、すでに実際の攻撃に悪用されている。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| Fortinet Advisory | FG-IR-26-099 |
| CVSSv3スコア | 9.1(Critical) |
| 脆弱性の種類 | 不適切なアクセス制御(CWE-284) |
| 攻撃条件 | 認証不要・リモートから実行可能 |
| 影響を受けるバージョン | FortiClient EMS 7.4.5 および 7.4.6 |
| 悪用確認日 | 2026年3月31日 |
| ホットフィックス公開 | 2026年4月4日 |
| 推奨対応 | ホットフィックス適用 → 7.4.7 へアップグレード |
なぜVPN機器の脆弱性が狙われるのか
VPN機器経由の侵入は、ランサムウェア攻撃の主要な侵入経路だ。警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害の侵入経路の約70%がVPN機器の脆弱性を突いたものだった。
攻撃者がVPN機器の脆弱性を好む理由は明確だ。
- インターネットに直接公開されている:VPN機器は外部からの接続を受け付ける設計であり、攻撃対象として発見しやすい
- パッチ適用が遅れがち:VPN機器のファームウェア更新は業務影響を伴うため、後回しにされやすい
- 一度侵入すれば社内ネットワーク全体にアクセスできる:VPNの性質上、内部ネットワークへの足がかりを得られる
Fortinet製品は国内シェアが高く、中小企業を中心に広く利用されている。攻撃者にとってはFortinet機器の脆弱性を狙うことで、効率的に多数の企業に侵入できるターゲットとなっている。
今すぐやるべき3ステップ
ステップ1:バージョンを確認する(所要時間:5分)
FortiClient EMSの管理コンソールにログインし、現在のバージョンを確認する。
- FortiClient EMSの管理画面(https://[EMSサーバーのIP]:443)にアクセス
- 左下の「About」またはダッシュボード上部でバージョンを確認
- 7.4.5 または 7.4.6 であれば影響を受ける
バージョンが7.4.4以前の場合、本脆弱性の直接的な影響はないが、他の既知の脆弱性が存在する可能性があるため、最新版へのアップグレードを推奨する。
ステップ2:ホットフィックスを適用する(所要時間:30分〜1時間)
Fortinetのサポートサイトからホットフィックスをダウンロードし、適用する。
- Fortinet Support Portal(support.fortinet.com)にログイン
- FortiClient EMS 7.4.7のホットフィックスをダウンロード
- メンテナンスウィンドウを設定(EMSの再起動が必要)
- ホットフィックスを適用
- 適用後にバージョンが7.4.7になっていることを確認
メンテナンス時間が確保できない場合でも、EMSサーバーへの外部からのアクセスを一時的にファイアウォールで遮断することで、リスクを軽減できる。
ステップ3:侵害の痕跡を確認する(所要時間:1〜2時間)
ホットフィックス公開前(3月31日〜4月4日)にすでに攻撃を受けている可能性がある。以下を確認する。
- EMSサーバーのアクセスログに不審なAPIリクエストがないか
- EMSサーバーに見覚えのないプロセスやサービスが起動していないか
- 管理下のエンドポイントに異常なポリシー変更が行われていないか
- EMSサーバーから外部への不審な通信(C2通信)がないか
不審な痕跡が見つかった場合は、EMSサーバーをネットワークから隔離し、インシデント対応の専門業者に連絡すること。
VPN機器のセキュリティ運用ベストプラクティス
今回の脆弱性対応だけでなく、VPN機器のセキュリティを日常的に維持するためのベストプラクティスを整理する。
ファームウェアの定期更新
VPN機器のファームウェアは、最低でも四半期に1回は最新版への更新を検討する。Critical/Highレベルの脆弱性が公表された場合は、72時間以内のパッチ適用を目標とする。
アクセス制御の強化
- 管理画面へのアクセスを社内IPアドレスに限定する
- 管理者アカウントに多要素認証(MFA)を設定する
- デフォルトの管理者パスワードを変更し、強固なパスワードポリシーを適用する
ログ監視の実施
VPN機器のログを定期的に確認し、不審なログイン試行や異常なトラフィックパターンを検知する。可能であればSIEMやログ監視サービスを導入し、リアルタイムでの異常検知体制を構築する。
緊急対応手順の事前策定
脆弱性が公表された際に迅速に対応するため、以下を事前に定めておく。
- 脆弱性情報の収集方法(Fortinetのアドバイザリ、JPCERT/CC、CISAのアラート)
- パッチ適用の意思決定フローと担当者
- メンテナンスウィンドウの確保方法
- 緊急時のエスカレーション先
機器入替の判断基準
以下に該当する場合は、VPN機器の入替(リプレース)を検討すべきだ。
| 判断基準 | 詳細 |
|---|---|
| サポート終了 | メーカーのEOL(End of Life)を過ぎた機器はパッチが提供されない |
| 脆弱性の頻発 | 同一製品で年間3件以上のCritical脆弱性が公表されている |
| 性能不足 | リモートワーク増加により同時接続数が上限に近い |
| 運用負荷 | パッチ適用・監視の運用負荷がIT部門のキャパシティを超えている |
FAQ(よくある質問)
Q. FortiGate(ファイアウォール/VPN)も影響を受けるか
今回のCVE-2026-35616はFortiClient EMSに限定された脆弱性であり、FortiGateは直接の影響を受けない。ただし、FortiGateにも過去に複数のCritical脆弱性が報告されているため、ファームウェアが最新であるか確認を推奨する。
Q. FortiClient EMS以外のエンドポイント管理ツールも対象か
本脆弱性はFortiClient EMSに特有のものであり、他のエンドポイント管理ツール(Intune、JAMF等)には影響しない。ただし、各製品の脆弱性情報は定期的に確認すべきだ。
Q. パッチ適用に業務停止は必要か
EMSサーバーの再起動が必要なため、VPN接続の管理が一時的に中断する可能性がある。既存のVPN接続自体は維持されるケースが多いが、メンテナンスウィンドウを設定して業務時間外に実施することを推奨する。
Q. 自社にIT担当者がいない場合、どうすればよいか
Fortinetの保守契約を結んでいるSIer・販売代理店に連絡し、緊急パッチの適用を依頼する。保守契約がない場合は、ネットワークセキュリティの専門業者にスポットで対応を依頼できる。
関連記事
- FortiClient EMS ゼロデイ脆弱性 CVE-2026-35616|CISA緊急警告の詳細
- VPN代替ソリューション比較|ZTNA・SDP・SSEで実現するセキュアなリモートアクセス
- ランサムウェア対策完全ガイド|中小企業のための防御・検知・復旧の実践
- GXOの導入事例
VPN機器のセキュリティ診断・パッチ適用でお困りですか?
GXOは緊急のパッチ適用対応から、VPN機器の定期セキュリティ診断、ZTNA移行の計画策定まで対応しています。「自社のVPN機器が安全かどうか確認したい」——まずはお気軽にご相談ください。
※ 営業電話はしません | オンライン対応可 | 緊急対応もご相談ください