FortiClient EMSに深刻なSQLインジェクション脆弱性（CVE-2026-21643）—— 既に実被害攻撃を確認

FortiClient EMSに深刻な脆弱性、攻撃が現在進行中

Fortinetのエンドポイント管理プラットフォーム「FortiClient EMS」に重大なSQLインジェクション脆弱性（CVE-2026-21643）が存在し、脅威インテリジェンス企業Defusedによれば、既に4日前から実際の攻撃に悪用されていることが確認されている。

脆弱性の概要

この脆弱性は、認証なしの第三者がFortiClient EMS のWebインターフェース（GUI）に対して細工したHTTPリクエストを送るだけで、任意のコード・コマンドを実行できるというものだ。攻撃の複雑度が低く、特権も不要なため、悪用のハードルが極めて低い点が深刻さに拍車をかけている。

Defusedは週末に次のように警告した。

「CVE-2026-21643は、CISAや他のKEV（Known Exploited Vulnerabilities）リストではまだ『未悪用』に分類されているが、我々のデータでは既に4日前に最初の悪用を確認している。攻撃者はHTTPリクエストの『Site』ヘッダーにSQLステートメントを埋め込む手口を使っており、ShodanによればFortiClient EMSのインスタンスは約1,000件がインターネット上に公開されている。」

影響を受けるバージョンと対策

• 影響バージョン: FortiClient EMS 7.4.4
• 修正バージョン: 7.4.5 以降にアップグレードすることで対処可能

脆弱性はFortinet社内のセキュリティチームに所属するGwendal Guégniaud氏が自社内で発見した。Fortinetはセキュリティアドバイザリを更新し、実被害攻撃の事実を公式に認定する対応を急ぐべきだが、本稿執筆時点では未更新のままとなっている。

公開されたインスタンスの規模

インターネットセキュリティ監視団体のShadowserverは、Webインターフェースが公開された状態のFortiClient EMSインスタンスを2,000件超追跡しており、そのうち1,400以上が米国およびヨーロッパのIPアドレスから確認されている。

Fortinet脆弱性の歴史的背景

Fortinetの製品に存在する脆弱性は、ランサムウェア攻撃や国家支援型サイバースパイ活動において繰り返し悪用されてきた。特にゼロデイとして、パッチ提供前から企業ネットワークへの侵入口として利用されるケースが多い。

直近では、Fortinetが別のゼロデイ脆弱性CVE-2026-24858への攻撃をブロックするため、脆弱なファームウェアを搭載したデバイスからのFortiCloud SSO接続を遮断する措置を講じている。

また、2024年3月には、米国土安全保障省サイバーセキュリティ機関（CISA）が別のFortiClient EMS SQLインジェクション脆弱性について連邦機関へのパッチ適用を命令した。この脆弱性はランサムウェア攻撃に加え、中国国家支援のハッキンググループ「Salt Typhoon（塩台風）」による通信サービスプロバイダーへの侵害にも利用されていた。

CISAはこれまでにFortinetの脆弱性24件を「積極的に悪用されている」と認定しており、そのうち13件はランサムウェア攻撃に使用されている。

対応のポイント

FortiClient EMSを運用する組織は、直ちにバージョン7.4.5以降へのアップグレードを優先すべきだ。インターネットにWebインターフェースを公開している場合は特に緊急性が高い。CISAのKEVリストへの掲載前であっても、実被害攻撃が確認されている以上、対応を先送りするリスクは大きい。

元記事: Critical Fortinet Forticlient EMS flaw now exploited in attacks