概要
Fortinet は2026年4月4〜5日、エンドポイント管理製品 FortiClient EMS に存在する深刻な脆弱性 CVE-2026-35616 に対する緊急ホットフィックスを公開した。CVSS スコアは 9.1(Critical)で、未認証のリモート攻撃者が API の認証・認可保護を完全にバイパスし、任意のコードやコマンドを実行できる。watchTowr のハニーポットが記録した最初の悪用は2026年3月31日にさかのぼり、Fortinet も公式に「野放し状態での悪用(exploited in the wild)を確認済み」と認めている。発見者は Defused Cyber の Simo Kohonen および Nguyen Duc Anh で、「週初めにゼロデイとして悪用を観測した」と報告している。
脆弱性の技術的詳細
本脆弱性は CWE-284(不適切なアクセス制御)に分類される。攻撃者は細工したリクエストを送信するだけで FortiClient EMS の API 認証・認可保護を迂回でき、特権やユーザー操作を一切必要としない。悪用に成功した場合、エンドポイント管理インフラへの不正アクセスや、管理下にある端末データの侵害、さらには管理機能を通じた横断的な侵害につながるリスクがある。インターネットに直接公開されている EMS 環境は特に危険度が高い。
影響を受けるバージョンは FortiClient EMS 7.4.5 および 7.4.6 で、7.2 系ブランチは対象外とされている。
対応方法
Fortinet はバージョンごとに以下のホットフィックスを提供しており、「脆弱性を完全に防止するのに十分」と声明している。
| 対象バージョン | ホットフィックス |
|---|---|
| 7.4.5 | 7.4.5.2111 |
| 7.4.6 | 7.4.6.2170 |
恒久対応版として FortiClient EMS 7.4.7 への修正組み込みも予定されている。すでに悪用が確認されているため、対象バージョンを運用するすべての組織はホットフィックスの緊急適用を最優先とする必要がある。また、ネットワーク境界での EMS へのアクセス制限を合わせて検討することも推奨される。