FortiSandbox のアップグレード手順|HA 構成でダウンタイムを抑える対応

  • URLをコピーしました!
目次

はじめに

2026 年 4 月 14 日(現地時間)、Fortinet 社はサンドボックス型マルウェア対策製品「FortiSandbox」に関するセキュリティアドバイザリを 6 件公開しました。このうち 2 件は Fortinet 公式アドバイザリで CVSSv3 スコア 9.1(Critical)と評価されており(NVD の CNA レコードでは同一のベクター文字列に対し 9.8 と表示され、参照元によって数値に差異があります)、いずれも認証なしでリモートから悪用が可能な深刻な脆弱性です。

なお、公開当初は悪用の報告がありませんでしたが、その後 2026 年 6 月中旬に CVE-2026-39808 を含む複数の脆弱性の悪用が観測され、7 月 16 日には CVE-2026-39808 が CISA の KEV(Known Exploited Vulnerabilities)カタログに追加されました。悪用状況や KEV 追加の詳細、暫定緩和策や侵害有無の確認については、関連記事『FortiSandbox 脆弱性の悪用を確認|CISA KEV 追加と侵害調査のポイント』で扱っています。本記事では、バックアップ取得から HA 構成でのアップグレードまでの実務手順に焦点を当てて解説します。

本記事では、脆弱性の技術的な概要にとどまらず、バックアップ取得から HA 構成を考慮したアップグレード手順まで、現場でそのまま使える実務ワークフローとして整理しています。

この記事でわかること
  • 今回公開された FortiSandbox の脆弱性 6 件の概要と深刻度
  • 影響を受けるバージョンと修正バージョンの対応表
  • 4.4.9 と 5.0.6 のどちらへアップグレードすべきかの選定基準
  • パッチ適用前に実施しておきたい設定バックアップの取得手順
  • HA(冗長化)構成でダウンタイムを最小限に抑えるファームウェアアップグレード手順
  • アップグレード後の動作確認チェックリスト

公開された脆弱性の詳細

CVE-2026-39808: OS コマンドインジェクション(FG-IR-26-100)

FortiSandbox の API エンドポイントに、OS コマンドインジェクション(CWE-78)の脆弱性が確認されました。入力値の検証に不備があり、細工した HTTP リクエストを送信することで、認証なしで任意の OS コマンドを実行されるおそれがあります。

悪用された場合、攻撃者にシステムの制御を奪われる可能性があり、Fortinet 公式アドバイザリでは CVSSv3 スコアを 9.1(Critical)と評価しています(NVD の CNA レコードでは同一ベクターで 9.8 と表示されます)。

参考: FortiGuard PSIRT Advisory(FG-IR-26-100)
“…may allow an unauthenticated attacker to execute unauthorized code or commands via crafted HTTP requests.”
(認証されていない攻撃者が、細工した HTTP リクエストを介して不正なコードやコマンドを実行できる可能性がある)
https://fortiguard.fortinet.com/psirt/FG-IR-26-100

項目内容
CVE IDCVE-2026-39808
アドバイザリFG-IR-26-100
脆弱性タイプOS コマンドインジェクション(CWE-78)
CVSSv3 スコア9.1(Critical)※ NVD 表記は 9.8
攻撃条件認証不要・リモートから実行可能
発見者KPMG Spain の Samuel de Lucas Maroto 氏(責任ある開示)

CVE-2026-39813: パストラバーサルによる認証バイパス(FG-IR-26-112)

FortiSandbox の JRPC API にパストラバーサル(CWE-24)の脆弱性が確認されました。細工した HTTP リクエストにより、認証を回避して権限昇格が可能となります。

こちらも Fortinet 公式で CVSSv3 スコア 9.1(Critical)です。NVD 上のディスクリプションでは「5.0.0 through 5.0.5」および「4.4.0 through 4.4.8」が影響範囲とされており、CVE-2026-39808 より影響を受けるバージョンの範囲が広い点に注意が必要です。

参考: FortiGuard PSIRT Advisory(FG-IR-26-112)
“…may allow an unauthenticated attacker to bypass authentication via specially crafted HTTP requests.”
(認証されていない攻撃者が、特別に細工した HTTP リクエストを介して認証を回避できる可能性がある)
https://fortiguard.fortinet.com/psirt/FG-IR-26-112

項目内容
CVE IDCVE-2026-39813
アドバイザリFG-IR-26-112
脆弱性タイプパストラバーサル(CWE-24)
CVSSv3 スコア9.1(Critical)
攻撃条件認証不要・リモートから実行可能
発見者Fortinet PSIRT の Loic Pantano 氏(社内発見)

その他の公開された脆弱性

上記 2 件のクリティカル脆弱性に加え、同日のアドバイザリでは以下の 4 件も公開されています。

CVE ID脆弱性タイプ概要
CVE-2026-39812クロスサイトスクリプティング(XSS)Web UI を介した XSS 攻撃のおそれ
CVE-2025-61886クロスサイトスクリプティング(XSS)同上
CVE-2026-25691任意のディレクトリ削除認証済みユーザーが任意のディレクトリを削除可能
CVE-2026-27316LDAP 認証情報の漏洩LDAP 設定画面から認証情報が漏洩するおそれ

いずれもクリティカル 2 件を含む計 6 件が同時に公開されていることを踏まえると、包括的なアップデート対応を推奨します。

影響を受けるバージョンと修正バージョン一覧

今回の脆弱性は、CVE によって影響を受けるバージョン範囲が異なります。以下の表でご自身の環境が該当するかを確認することを推奨します。

クリティカル脆弱性(CVSSv3: 9.1)

CVE ID影響を受けるバージョン修正バージョン
CVE-2026-39808(OS コマンドインジェクション)FortiSandbox 4.4.0 〜 4.4.84.4.9 以上
CVE-2026-39813(パストラバーサル)FortiSandbox 5.0.0 〜 5.0.5 / 4.4.0 〜 4.4.85.0.6 以上 / 4.4.9 以上

その他の脆弱性

CVE ID脆弱性タイプ修正バージョン
CVE-2026-39812XSS5.0.6 / 4.4.9
CVE-2025-61886XSS5.0.6 / 4.4.9
CVE-2026-25691任意のディレクトリ削除5.0.6 / 4.4.9
CVE-2026-27316LDAP 認証情報漏洩5.0.6 のみ

4.4 系と 5.0 系のどちらへアップグレードするか

FortiSandbox 4.4 系を運用している場合、修正版として 4.4.9 へ更新する選択肢と、5.0 系へメジャーアップグレードする選択肢があります。どちらを選ぶかは、利用している機能と対処したい脆弱性の範囲によって異なります。ここでは判断の目安を整理します。

まず、今回の主要なクリティカル脆弱性(CVE-2026-39808 / CVE-2026-39813)については、4.4 系は 4.4.9 へ更新することで修正されます。この範囲への対処だけであれば、4.4.9 への更新で完結します。

一方で注意が必要なのが、同時に公開された CVE-2026-27316(LDAP 認証情報漏洩)です。この脆弱性の修正は 4.4.9 には含まれておらず、対処には 5.0 系以降へのアップグレードが必要とされています。したがって、LDAP 連携を利用している環境では、4.4.9 への更新だけでは CVE-2026-27316 が未修正のまま残る点に留意が必要です。

以下に選定の目安を整理します。

運用状況推奨されるアップグレード先理由
LDAP 連携を利用していない4.4.9 以降クリティカル脆弱性を含む大半の脆弱性が修正される
LDAP 連携を利用している5.0 系(5.0.6 以降)CVE-2026-27316 の修正が 4.4.9 に含まれず、5.0 系が必要
将来的な機能追加・サポート期間を重視5.0 系(5.0.6 以降)新しいブランチのほうがサポート期間・機能面で有利

メジャーアップグレード(4.4 系 → 5.0 系)は、マイナーアップデート(4.4.8 → 4.4.9)と比べて設定の互換性や所要時間の面で影響が大きくなる場合があります。5.0 系へ移行する際は、事前に対象バージョンのリリースノートで、アップグレードパスや既知の変更点を確認しておくことを推奨します。

参考: Security NEXT
“「4.4ブランチ」に関しては「CVE-2026-27316」の修正が含まれておらず、「5.0ブランチ」以降への更新が必要”
https://www.security-next.com/183443

Cloud / PaaS 利用時の確認ポイント

FortiSandbox には、オンプレミス版のほかに FortiSandbox Cloud と FortiSandbox PaaS の提供形態があります。これらのクラウド版は、脆弱性ごとに影響の有無が異なるため、オンプレミス版とは別に確認が必要です。

CVE-2026-39808(FG-IR-26-100)ではクラウド版は影響を受けませんが、6 月に公開された CVE-2026-25089(FG-IR-26-141)では FortiSandbox Cloud 5.0(5.0.4〜5.0.5)と FortiSandbox PaaS 5.0(5.0.4〜5.0.5)が影響対象に含まれます。提供形態別の影響範囲を整理すると以下のとおりです。

提供形態CVE-2026-39808CVE-2026-25089
FortiSandbox(オンプレミス)4.4 系が影響4.4 系・5.0 系が影響
FortiSandbox Cloud対象外5.0.4〜5.0.5 が影響
FortiSandbox PaaS対象外5.0.4〜5.0.5 が影響

PaaS 環境では、アップグレード作業自体はサービス提供側が実施するのが一般的です。利用者側では、提供側が CVE-2026-25089 の修正(2026 年 6 月 9 日公開)を適用済みかどうかを確認することが、実務上の確認ポイントになります。オンプレミス版のように自分でファームウェアを適用するのではなく、提供側の対応状況を確認する運用となる点が異なります。

なお、FortiSandbox PaaS(5.0)は CVE-2026-39808(FG-IR-26-100)の影響を受けないため、この脆弱性に関して PaaS 利用者の特別な対応は不要です。ただし、この案内はあくまで CVE-2026-39808 に限った話である点に注意が必要です。脆弱性ごとにクラウド版の扱いが異なるため、PaaS / Cloud 利用者は、各アドバイザリで自環境の該当有無を個別に確認することを推奨します。CVE-2026-25089 の詳細は前述の関連記事を参照してください。

参考: FortiGuard PSIRT Advisory(FG-IR-26-100)
“FortiSanbox PaaS 5.0 is not impacted by the issue and hence customers do not need to perform any action.”
(FortiSandbox PaaS 5.0 は本脆弱性の影響を受けないため、利用者は対応不要)
https://fortiguard.fortinet.com/psirt/FG-IR-26-100

パッチ適用前の準備 ― 設定バックアップの取得手順

ファームウェアのアップグレード作業に入る前に、現在の設定情報を確実にバックアップしておくことが推奨されます。万が一アップグレードに失敗した場合やアップグレード後に想定外の動作が発生した場合に、速やかにロールバックできる状態を作っておくことで、ダウンタイムの長期化を防ぐことにつながります。

GUI でのバックアップ取得

  1. FortiSandbox の Web UI にログインする
  2. Dashboard > Status > System Information ウィジェットを開く
  3. 「System Configuration」横の Backup/Restore リンクをクリックする
  4. 「Local Backup」セクションの Backup ボタンをクリックし、バックアップファイルをローカルにダウンロードする

CLI でのバックアップ取得

GUI にアクセスできない環境や、運用上 CLI を使用している場合は、backup-sysconfコマンドでリモートサーバーにバックアップをアップロードできます。

backup-sysconf -s<サーバIP> -t[scp|tftp] -u<ユーザー名> -f<ファイルパス>

実行例:

backup-sysconf -s10.0.0.5 -ttftp -utestuser -ffsa_v4.4.8_20260415.conf

参考: Fortinet Document Library “FortiSandbox 5.0.5 CLI Reference — backup-sysconf”
https://docs.fortinet.com/document/fortisandbox/5.0.5/cli-reference/490659/backup-sysconf

バックアップファイルの保管に関する注意点

  • バックアップファイルには認証情報やポリシー設定が含まれるため、アクセス制限のある安全な保管場所に保存することを推奨します。
  • ファイル名に日付・ホスト名・ファームウェアバージョンを含めておくと、ロールバック時に対象ファイルを特定しやすくなります(例: fsa_v4.4.8_20260415.conf)
  • 可能であれば、バックアップ取得後に別のテスト環境でリストアが正常に完了することを確認しておくとより安心です。

FortiSandbox HA 構成のアップグレード手順(ダウンタイム最小化)

このセクションでは、FortiSandbox を HA(High Availability)構成で運用している環境向けに、フェイルオーバーを活用してサービス停止時間を抑えるアップグレードの流れを整理します。アップグレードの順序を誤るとクラスタ全体が同時にダウンするリスクがあるため、以下の手順に沿って進めることを推奨します。※スタンドアロン構成の場合はメンテナンスウィンドウを確保した上で、通常のアップグレード手順を実施してください。

アップグレード前の確認事項

作業に入る前に、以下の点を確認しておくことを推奨します。

  • HA クラスタのステータスが正常であること(hc-status -lで確認)
  • Primary / Secondary 双方で前セクションのバックアップが取得済みであること
  • メンテナンスウィンドウが関係者に周知されていること
  • ロールバック手順と判断基準(切り戻し条件)が事前に合意されていること
STEP
Secondary ノードのアップグレード

まず Secondary(スタンバイ)側からアップグレードを実施します。この間、トラフィックは Primary が処理し続けるため、サービスへの影響はありません。

  1. Secondary ノードの Web UI または CLI にアクセスする
  2. 対象のファームウェアイメージ(4.4.9 または 5.0.6)をアップロードする
  3. アップグレードを実行し、再起動を待つ
  4. 再起動後、statusコマンドでバージョンが正しく更新されていることを確認する
STEP
フェイルオーバーの実行

Secondary のアップグレードが正常に完了したことを確認したら、手動でフェイルオーバーを実行し、Secondary を新しい Primary に昇格させます。FortiSandbox の CLI には FortiGate のような明示的なフェイルオーバーコマンドは用意されていないため、Primary ノードの再起動(reboot)によってフェイルオーバーを発生させる方法が一般的です。あるいは、GUI の HA 設定画面からロールの切り替えを行うことも可能です。

フェイルオーバー後、以下を確認します。

  • 旧 Secondary(新 Primary)がアクティブにトラフィックを処理していること
  • サンドボックス解析のジョブが正常にキューイング・処理されていること

この切り替え時に数秒〜数十秒程度の瞬断が発生する可能性があるため、メンテナンスウィンドウ内で実施することを推奨します。

STEP
旧 Primary ノードのアップグレード

フェイルオーバーが安定したことを確認した後、旧 Primary(現 Secondary)に対して同様のアップグレードを実施します。

  1. 旧 Primary ノードにアクセスする
  2. ファームウェアイメージをアップロードし、アップグレードを実行する
  3. 再起動後、statusコマンドでバージョンを確認する
STEP
HA クラスタの同期確認

両ノードのアップグレードが完了したら、クラスタ全体の状態を確認します。

hc-status -l
  • 両ノードのファームウェアバージョンが一致していること
  • クラスタステータスが正常に同期されていること
  • 必要に応じて Primary の役割を元のノードに戻す(運用ポリシーに従って判断)

参考: Fortinet Document Library “FortiSandbox 5.0.5 CLI Reference — HA Cluster”
https://docs.fortinet.com/document/fortisandbox/5.0.5/cli-reference/451672/ha-cluster

パッチ適用後の確認ポイント

アップグレードが完了した後は、以下のチェックリストに沿って動作確認を実施することを推奨します。ファームウェアの更新自体は成功していても、設定の引き継ぎや連携サービスに問題が発生するケースがあるためです。

バージョン確認

CLI で現在のファームウェアバージョンが想定どおりであることを確認します。

status

出力内の Version フィールドが FortiSandbox-v5.0.6 や FortiSandbox-v4.4.9 となっていれば問題ありません。

動作確認チェックリスト

確認項目確認方法期待される結果
ファームウェアバージョンstatusコマンド修正バージョン(5.0.6 / 4.4.9)が表示される
HA クラスタステータスhc-status -lコマンド両ノードが正常に同期されている
サンドボックス解析テスト用マルウェアサンプルを投入正常に解析レポートが生成される
Web UI ログインブラウザからアクセス正常にログイン・操作が可能
API 連携外部システムから API コール正常にレスポンスが返る
LDAP 認証(該当環境のみ)LDAP 連携ユーザーでログイン認証が正常に通る
ログ出力FortiAnalyzer 等への転送を確認syslog / FortiAnalyzer へのログ転送が正常

アップグレード後に問題が発生した場合

想定外の挙動が確認された場合は、事前に取得したバックアップファイルを用いてロールバックを検討します。

restore-sysconf -s<サーバIP> -t[scp|tftp] -u<ユーザー名> -f<ファイルパス>

参考: Fortinet Document Library “FortiSandbox 5.0.5 CLI Reference — restore-sysconf”
https://docs.fortinet.com/document/fortisandbox/5.0.5/cli-reference/832362/restore-sysconf

ロールバック後は一時的に脆弱性が残存する状態となるため、管理インターフェースへのアクセスを信頼できるネットワークに制限するといった暫定的な緩和策を講じておくことを推奨します。

まとめ

  • FortiSandbox に CVSSv3 スコア 9.1(公式)のクリティカル脆弱性 2 件を含む計 6 件のアドバイザリが公開
  • CVE-2026-39808 と CVE-2026-39813 はいずれも認証不要でリモートから悪用可能
  • 修正バージョンは 5.0.6 および 4.4.9 だが、CVE-2026-27316 は 4.4 系では未修正のため 5.0 系での対応が必要
  • パッチ適用前には設定バックアップを取得し、安全な場所に保管しておくことを推奨
  • HA 構成では Secondary → フェイルオーバー → 旧 Primary の順にアップグレードしてダウンタイムを最小化
  • 2026 年 6 月中旬以降に CVE-2026-39808 等の悪用が確認され、CISA KEV にも追加されたため早期の対応が必要

以上、最後までお読みいただきありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

関西を拠点に活動する、現役インフラエンジニア。経験20年超。

大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

保有資格
CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

▶ 運営者プロフィール(詳細)

目次