Fortinetが週末に緊急のセキュリティアップデートを公開した。FortiClient Enterprise Management Server(EMS)に発見された新たな重大脆弱性(CVE-2026-35616)が、すでに実環境での攻撃に悪用されていることが確認されたためだ。影響を受けるバージョンを運用中のIT管理者は、今すぐ対応が必要な状況だ。
脆弱性の概要:認証を完全に素通りされる
CVE-2026-35616は、不適切なアクセス制御(Improper Access Control) に分類される脆弱性だ。攻撃者は認証なしで特細工されたリクエストを送信するだけで、サーバー上でコードやコマンドを実行できてしまう。
この脆弱性を発見したセキュリティ企業Defusedは、「プリオーセンティケーション APIアクセスバイパス」と説明している。つまり、ログイン前の段階で認証・認可の仕組みをまるごと迂回できるということだ。しかも同社は、Fortinetへの報告前にすでに攻撃者が悪用しているゼロデイであることを確認している。
影響を受けるバージョンと対処法
今回の脆弱性が影響するのは以下のバージョンだ:
- FortiClient EMS 7.4.5(ホットフィックス適用が必要)
- FortiClient EMS 7.4.6(ホットフィックス適用が必要)
FortiClient EMS 7.2系は影響を受けない。
Fortinetは各バージョン向けのホットフィックスを公開しており、7.4.7でも修正が含まれる予定となっている。まずは現行バージョン向けのホットフィックスを優先して適用するのが現実的な対応だ。
なお先週も別の重大脆弱性(CVE-2026-21643)が同じFortiClient EMSで報告・悪用されており、同じくDefusedが発見している。短期間に連続して重大な脆弱性が出ている点は注目に値する。
被害規模:インターネット上に2,000台超が露出
インターネットセキュリティ監視組織のShadowserverによると、FortiClient EMSのインスタンスが2,000台超インターネットに露出した状態で確認されている。主な分布は米国とドイツとされているが、日本のエンタープライズ環境でも導入実績のある製品だけに、国内での被害は他人事ではない。
実務への影響
FortiClient EMSはエンドポイントのセキュリティポリシーを一元管理するサーバーだ。ここが侵害されると、管理下のすべてのエンドポイントに対して任意のポリシーを配布できてしまう可能性がある。被害が拡大するまでの時間が短く、侵害の痕跡も残りにくいタイプの脆弱性だ。
IT管理者がまず確認すべき事項を整理する:
- バージョン確認: FortiClient EMSのバージョンが7.4.5または7.4.6かどうかを即確認する
- ホットフィックスの適用: 対象バージョンであれば、Fortinet公式のリリースノートからホットフィックスを取得して適用する
- 外部露出の確認: FortiClient EMSの管理ポートがインターネットに直接露出していないかを確認する。管理系サーバーをインターネットに直接さらすのは、それ自体が設計の問題だ
- ログの確認: 脆弱性が悪用されるゼロデイ期間中に不審なAPIアクセスがなかったかをログで確認する
筆者の見解
ゼロトラストアーキテクチャを推進する立場からすると、今回の脆弱性が突いているポイントは示唆的だ。「認証を通らなければ安全」という前提が崩れたとき、その先に何の防御もなければ即座に終わりを迎える。
「管理サーバーはVPNの内側にあるから大丈夫」という感覚でいる環境も多いかもしれないが、ゼロトラストの観点では境界防御だけに頼ることは今や十分ではない。エンドポイント管理のような高権限サーバーへのアクセスには、ネットワーク層だけでなく認証層・認可層も多重に重ね、さらにJust-In-Time(JIT)アクセスのような「必要なときだけ権限を与える」仕組みを加えることが理想だ。
FortiClientはエンドポイントセキュリティの有力な選択肢として多くの現場で使われている。だからこそ、今回のような脆弱性が連続して発生することは残念だし、ユーザーとしては適切なパッチ適用サイクルを維持することが引き続き重要になる。「今動いているから大丈夫」は、こうした事態の前では通用しない。週末に緊急パッチが出た事実が、事の重大さを物語っている。
今すぐ自環境のバージョンを確認し、対象であれば業務時間を待たずに対応することを強く勧める。
出典: この記事は New FortiClient EMS flaw exploited in attacks, emergency patch released の内容をもとに、筆者の見解を加えて独自に執筆したものです。