はじめに
エンタープライズ環境のエンドポイント管理に広く利用されている Fortinet の FortiClient EMS において、CVSS スコア 9.1 を記録する重大な脆弱性(CVE-2026-35616)が公開されました。
この脆弱性はすでに野外(In-the-wild)でのエクスプロイト(悪用)が観測されており、メーカーから緊急のパッチ(ホットフィックス)がリリースされています。
参考: The Hacker News
“Fortinet has released out-of-band patches for a critical security flaw impacting FortiClient EMS that it said has been exploited in the wild.”
(Fortinet は、実際の環境で悪用されていると述べた、FortiClient EMS に影響を与える重大なセキュリティの欠陥に対する帯域外パッチをリリースしました。)
https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html
本記事では、この脆弱性(CVE-2026-35616)の脅威の全容と、実環境における影響範囲の特定、およびインフラ運用者が迅速に対応するための推奨されるパッチ適用手順について解説します。
- FortiClient EMS における API 認証バイパスと権限昇格の仕組み
- 影響を受けるバージョン(7.4.5 〜 7.4.6)と連休を狙ったゼロデイ攻撃の実態
- パッチ適用前のバックアップ等の事前準備と具体的な適用手順
- インターネット公開環境における多層防御の推奨策
お時間がない方向けに、 2 分の音声で要点をサクッと解説しています。
※解説はブログ記事をもとに AI で生成しています。
FortiClient EMS 脆弱性(CVE-2026-35616)の概要とエクスプロイトの実態
今回の脆弱性は、認証を必要とせずに API アクセスをバイパスし、システムの権限昇格を引き起こす非常に危険な設計上の欠陥です。
CVSS 9.1 の API 認証バイパスと権限昇格のメカニズム
CVE-2026-35616 は、FortiClient EMS における不適切なアクセス制御(CWE-284)に起因します。認証されていない外部の攻撃者が、巧妙に細工したリクエストを送信することで API の保護をすり抜け、システム上で不正なコードやコマンドを実行することが可能になります。
参考: The Hacker News
“Successful exploitation of the flaw could allow an unauthenticated attacker to sidestep API authentication and authorization protections, and execute malicious code or commands via crafted requests.”
(この欠陥の悪用が成功すると、認証されていない攻撃者が API の認証と承認の保護を回避し、細工されたリクエストを介して悪意のあるコードやコマンドを実行できるようになる可能性があります。) https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html
エンドポイントのセキュリティポリシーを一元管理する EMS が侵害されることは、配下の全クライアント端末へのマルウェア配信や制御の奪取につながる可能性があるため、影響は極めて甚大です。
影響を受けるバージョン(7.4.5 〜 7.4.6)と連休を狙ったゼロデイ攻撃
この脆弱性は、FortiClient EMS のバージョン 7.4.5 および 7.4.6 に影響を与えます。今後のバージョン 7.4.7 で完全に修正される予定ですが、事態の緊急性からすでにホットフィックスが提供されています。
セキュリティ企業の watchTowr によると、この脆弱性を狙ったエクスプロイトは 2026 年 3 月 31 日に初めて観測されました。これはイースターの連休と重なっており、オンコールエンジニアの対応が遅れがちなタイミングを意図的に狙った可能性が高いと指摘されています。
パッチ適用前の影響範囲特定と事前準備
今回の脆弱性(CVE-2026-35616)に対する対策を進めるにあたり、まずは自社の環境が影響範囲に含まれるかを正確に特定し、安全にアップデートを行うための準備を整えることが重要です。
稼働バージョンの確認と提供されているホットフィックスの取得
FortiClient EMS の管理コンソールにログインし、ダッシュボード等から現在の稼働バージョンを確認します。バージョンが 7.4.5 または 7.4.6 に該当する場合は、今回のゼロデイ攻撃の標的となるため、速やかな対応が推奨されます。 完全な修正版となるバージョン 7.4.7 のリリースを待つのではなく、Fortinet のサポートポータルから現在提供されている緊急のホットフィックス(Hotfix)をダウンロードして準備しておくことをおすすめします。
安全な適用のためのバックアップ取得とダウンタイムの考慮事項
パッチ適用作業はシステムの再起動や一時的なサービス停止を伴う可能性があります。作業を実施する前には、必ず FortiClient EMS の設定ファイルやデータベースのバックアップを取得し、仮想サーバー(VM)で稼働している場合はハイパーバイザ側でスナップショットを取得しておくことが推奨されます。 これにより、万が一パッチ適用後に予期せぬ不具合が発生した場合でも、迅速に元の状態へロールバック(切り戻し)することが可能となり、長期的な業務影響の防止につながります。
実運用におけるパッチ適用プロセスと事後確認
事前準備が完了したら、速やかにホットフィックスを適用します。特にインターネットに対して FortiClient EMS を直接公開している環境においては、この作業を最優先事項として扱うことが推奨されます。
参考: The Hacker News
“So, once again, organizations running FortiClient EMS and exposed to the Internet should treat this as an emergency response situation, not something to pick up on Tuesday morning. Apply the hotfix. Attackers already have a head start.” (「したがって、繰り返しになりますが、FortiClient EMS を実行し、インターネットに公開している組織は、これを火曜日の朝に対処するようなものではなく、緊急対応の状況として扱う必要があります。ホットフィックスを適用してください。攻撃者はすでに有利なスタートを切っています。」)
https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html
ホットフィックス適用の具体的な手順と運用上の注意点
取得したホットフィックスのインストーラーを実行し、画面の指示に従ってアップデートを進めます。パッチ適用中はエンドポイント(クライアント PC)からの接続が一時的に切断される可能性があるため、社内への事前告知や、影響の少ない時間帯をメンテナンスウィンドウとして設定することを検討することをおすすめします。ただし、すでに野外での攻撃が始まっている状況を鑑み、可能な限り早期のタイミングを設定することが推奨されます。
適用後の動作確認とログ監視の強化による侵害有無の監査
パッチ適用後、EMS のサービスが正常に起動し、配下の FortiClient 端末が正しく再接続されているかを確認します。 また、パッチを適用する「前」の段階でシステムがすでに侵害されていなかったかを確認するため、アクセスログやシステムログを遡り、不審な API リクエストや未知のコマンド実行履歴が存在しないか監査を行うことを強くおすすめします。
インターネット公開環境における多層防御の推奨策
今回のインシデントにおいてセキュリティ専門家が危惧しているのは、FortiClient EMS における致命的な脆弱性の発見が、今回の一度きりではないという点です。
参考: The Hacker News
“What is disappointing is the bigger picture. This is the second unauthenticated vulnerability in FortiClient EMS in a matter of weeks.”
(「がっかりさせられるのは、より大きな全体像です。これは、ここ数週間で FortiClient EMS における 2 つ目の認証されていない脆弱性です。」)
https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html
わずか数週間の間に、認証を必要としない重大な脆弱性(CVE-2026-21643 および CVE-2026-35616)が立て続けに悪用されている状況を踏まえると、製品自体のパッチ適用に依存する単一障害点(SPOF)の運用を見直す時期に来ていると言えます。
連続する FortiClient EMS の脆弱性から学ぶ緊急対応の重要性
エンドポイントの管理サーバーという特性上、社外にある端末からの通信を受け入れるために EMS をインターネットへ直接公開しているケースが多く見受けられます。しかし、ゼロデイ攻撃が頻発する現状において、管理インターフェースや API を無防備にインターネットへ露出させることは、システム全体を極めて高いリスクに晒すことになります。
API アクセスの制限など、パッチ適用までの暫定的な緩和策
今後の新たな脆弱性に備え、さらなる被害の防止につながる多層防御(Defense in Depth)のアプローチを取り入れることが推奨されます。 例えば、パッチ適用までの暫定的な緩和策として、FortiGate などのファイアウォールを活用し、EMS の API や管理ポートへのアクセスを信頼できる IP アドレス(自社の拠点や特定の VPN セグメント)からのみに制限することをおすすめします。あるいは、ゼロトラストネットワークアクセス(ZTNA)を利用して、適切なデバイス認証を通過した端末のみに通信を許可するアーキテクチャへの移行を検討することが、中長期的なセキュリティ強化につながります。
まとめ
本記事では、FortiClient EMS における緊急性の高いゼロデイ脆弱性(CVE-2026-35616)の脅威と、現場で推奨される対策について解説しました。
- CVSS 9.1 の API 認証バイパスにより、システム権限の昇格と不正なコード実行を許す恐れがある。
- バージョン 7.4.5 と 7.4.6 が影響を受け、連休を狙った悪用がすでに観測されている。
- パッチ適用の前にバックアップを取得し、安全な切り戻し(ロールバック)計画を策定することが推奨される。
- 適用前後のログを監査し、システムがすでに侵害されていないか確認することをおすすめする。
- インターネットへの直接公開を控え、アクセス制御などの多層防御によってリスクを低減する。
以上、最後までお読みいただきありがとうございました。
