CVE-2026-35616 とは何か
CVE-2026-35616 は、Fortinet のエンドポイント管理基盤 FortiClient Enterprise Management Server(EMS) に存在する Improper Access Control(不適切なアクセス制御)の脆弱性である。CVSS スコアは 9.1(Critical)で、未認証の攻撃者が API 認証をバイパスして特権リクエストを送信できる。
この脆弱性が特に深刻なのは、単なる「サーバー侵害」にとどまらない点にある。FortiClient EMS は組織内の全エンドポイントを一元管理するプラットフォームであり、EMSサーバーを乗っ取ることで 配下の全端末に任意の操作を実行できる。攻撃者はこの特性を悪用し、EMS の管理チャネルを通じて全管理端末に EKZ インフォスティーラーを「Fortinet 公式パッチ」に偽装して配布した。
何が起きたのか
2026年5月、セキュリティ企業 Arctic Wolf は FortiClient EMS が管理する端末で不審なインフォスティーラーの感染を複数検出した。調査の結果、攻撃者が CVE-2026-35616 を悪用して EMS サーバーへの未認証アクセスを確立し、そこから全管理端末への不正なソフトウェア配布を実行していたことが判明した。
攻撃者の手口で際立っていたのは、配布物を Fortinet の正規エンドポイントアップデートに偽装した点である。EMS が通常の運用で行う「ソフトウェア更新の配布」という操作と見分けがつかないため、エンドポイントのセキュリティ製品も利用者も気づかないまま EKZ がインストールされた。
Fortinet は 2026年4月初旬に悪用を確認し、緊急ホットフィックスを公開した。修正バージョンは FortiClient EMS 7.4.7 以降、および 7.4.5 / 7.4.6 向け緊急パッチである。
攻撃チェーンの技術的な解説
第1段階: API 認証バイパス(CVE-2026-35616)
FortiClient EMS は REST API を通じてエンドポイントの管理操作を受け付ける。CVE-2026-35616 はこの API の認可処理に欠陥があり、特定のリクエスト形式を用いると認証トークンなしに管理者権限相当のリクエストを送信できる。攻撃者はインターネットに公開された EMS の管理ポートを探索し、この脆弱性を突いて内部へのアクセスを確立した。
第2段階: 管理チャネルの乗っ取り
EMS に侵入した攻撃者は、FortiClient が定期的に実施する「設定同期・ソフトウェアアップデート配布」の仕組みを悪用した。管理者が通常行う操作と同じ経路を使い、EKZ インフォスティーラーを全管理端末に PowerShell 経由でサイレント実行させた。これは次のような意味を持つ:
- EMS が信頼する配布元として動作するため、多くのエンドポイント保護製品がブロックしない
- 利用者には「公式の更新が来た」と見える
- EMS が管理する端末が多ければ多いほど、被害規模が拡大する
第3段階: EKZ インフォスティーラーによる資格情報の窃取
EKZ(EKZ Infostealer) は、Chrome・Firefox を中心とするブラウザに保存された資格情報・Cookie・クレジットカード情報・住所・電話番号を窃取するインフォスティーラーである。
特に注目すべきは、Chrome の暗号化パスワードストレージへの迂回技術を実装している点だ。Chrome はバージョン 127 以降、保存パスワードを App-Bound Encryption(ABE)で保護しているが、EKZ はこの仕組みを回避するテクニックを持つ。また、セッション Cookie を盗むことで MFA(多要素認証)を突破なしに迂回できる。
| 窃取対象 | 悪用リスク |
|---|---|
| ブラウザ保存パスワード | 業務システム・クラウドサービスへの不正ログイン |
| セッション Cookie | MFA 済みセッションの乗っ取り(pass-the-cookie) |
| クレジットカード情報 | 不正購入・金融詐欺 |
| 住所・電話番号 | 標的型フィッシング・ソーシャルエンジニアリング |
窃取された情報は C2(コマンド&コントロール)サーバーへ送信され、ダークウェブのアンダーグラウンドマーケットで販売される。組織全体の端末から一度に収集されるため、流出する資格情報の量と質が通常の感染とは桁違いになる。
なぜこの攻撃が成立したのか
今回の攻撃が成立した背景には、「セキュリティ製品の管理基盤はそれ自体が攻撃対象になる」という逆説的なリスクへの認識不足がある。
FortiClient EMS のような EDR・エンドポイント管理製品は、端末を守るために存在する。しかし、その管理サーバーは全端末への「信頼された特権チャネル」を持つ。このサーバーを侵害した攻撃者は、保護の仕組みを攻撃インフラに転用できる。
同様の事例として Trend Micro Apex One の CVE-2026-34926 がある。EDR サーバーを経由して全管理端末にマルウェアを配布するという手口は、エンドポイント管理製品全体に共通するリスクである。
日本企業への影響
FortiClient EMS は、Fortigate ファイアウォールと組み合わせて Fortinet の統合セキュリティ基盤(Fortinet Security Fabric)を構成するため、Fortinet 製品を採用している日本企業に広く普及している。金融・医療・製造・官公庁など幅広いセクターでの利用が想定される。
特に注意すべきは以下のシナリオである:
- FortiClient EMS がインターネットに露出している環境: リモートワーク対応などで管理ポートを外部公開している場合、攻撃者がスキャンで発見して悪用できる。
- 管理端末数が多い組織ほど被害規模が大きい: EMS が 1,000台を管理していれば、1回の侵害で 1,000台の端末が感染する。
- Fortinet から届く更新と区別がつかない: 利用者や情報システム部門が「Fortinet の更新が来た」と認識してしまうリスクがある。
今すぐ確認すべきポイント
1. FortiClient EMS のバージョンを確認し、修正版にアップデートする
影響を受けるバージョンと修正バージョンを確認する。
| バージョン | 状態 |
|---|---|
| FortiClient EMS 7.4.7 以降 | 修正済み |
| FortiClient EMS 7.4.5 / 7.4.6 | 緊急ホットフィックスあり(適用必須) |
| FortiClient EMS 7.4.4 以前 | 影響あり(アップグレード推奨) |
2. EMS 管理ポートのネットワーク露出を確認する
FortiClient EMS の管理ポート(デフォルト 443 / 8013)がインターネットから直接アクセス可能になっていないか確認する。管理インターフェースは VPN 経由または内部ネットワーク限定にする。
3. パッチ適用前の感染確認を行う
パッチ公開前の期間(2026年4月以前)から EMS が稼働していた場合、感染していた可能性がある。以下を確認する:
- EMS の管理ログで異常な API 呼び出し(未認証リクエスト)がないか確認する
- 管理端末に不審なプロセス(PowerShell による不審な実行履歴)がないか確認する
- ブラウザ保存パスワードの変更やセッション異常のアラートがないか確認する
- Arctic Wolf のブログが公開している IoC(侵害指標)と突き合わせる
4. 管理端末のパスワード・セッションを全リセットする
EKZ による資格情報窃取が疑われる場合、全管理端末のブラウザ保存パスワードを無効化し、業務システムのパスワードを強制変更する。セッション Cookie 盗用のリスクに対しては、全アクティブセッションの強制ログアウトを実施する。
5. エンドポイント管理製品の「信頼された更新チャネル」を監視する
FortiClient EMS に限らず、エンドポイント管理製品が配布するすべての更新・コマンドを SIEM でログ収集し、異常な配布パターン(業務時間外・一括配布・未スケジュール実行)を検知する仕組みを導入する。
エンドポイント管理基盤が攻撃経路になる時代
CVE-2026-35616 が示すのは、「セキュリティのために導入した製品がセキュリティリスクになる」という現代の脅威の逆説である。EDR・エンドポイント管理製品は、その性質上、全端末への特権アクセスを持つ。これを侵害すれば、一つの入口から組織全体を掌握できる。
セキュリティ製品の管理サーバーも、通常のサーバーと同様に「攻撃対象」として扱い、インターネット露出の最小化・パッチ管理の優先対応・ログ監視の徹底が求められる。
インフォスティーラーと pass-the-cookie 攻撃の詳細については インフォスティーラーとセッションCookie窃取 も参照されたい。
参考情報
- BleepingComputer: Hackers exploit FortiClient EMS flaw to push infostealer malware
- Arctic Wolf: FortiClient EMS Exploited via CVE-2026-35616 to Deliver EKZ Infostealer Disguised as a Fortinet Patch
- The Hacker News: Threat Actors Exploit Critical FortiClient EMS Flaw to Deploy Credential Stealer
- Help Net Security: New infostealer reaches enterprise devices through FortiClient EMS vulnerability
- SecurityAffairs: CVE-2026-35616: FortiClient EMS Flaw Actively Exploited in Malware Attacks