概要
脅威インテリジェンス企業Defusedは2026年6月16日、Fortinet FortiSandboxに存在するCVSSスコア9.1の重大脆弱性3件が実際の攻撃で悪用されていることを確認したと発表した。対象となるのはCVE-2026-39813(JRPC APIにおけるパストラバーサルによる認証バイパス)、CVE-2026-39808(認証なしのOSコマンドインジェクション)、CVE-2026-25089(WebUIにおけるOSコマンドインジェクション)の3件で、いずれも未認証の攻撃者がユーザー操作なしにリモートから特権昇格やコード実行を行える低複雑度の攻撃が可能となる。FortiSandboxは他のFortinet製品が脅威判定を依存するプラットフォームであるため、侵害された場合の影響は特に大きい。
各脆弱性の詳細
CVE-2026-39813はFortiSandboxのJRPC APIに存在するパストラバーサル脆弱性で、認証なしの攻撃者が特別に細工したHTTPリクエストを送ることで認証をバイパスできる。CVE-2026-39808はOSコマンドインジェクション脆弱性で、未認証の状態でリモートコード実行が可能となる。これら2件は2026年4月14日に修正パッチが提供された。CVE-2026-25089はFortiSandbox本体に加えFortiSandbox CloudおよびFortiSandbox PaaSのWebUI全体に影響するOSコマンドインジェクションで、2026年6月9日に修正された。つまり、脆弱性の悪用が確認されたのはパッチ公開からわずか1週間後のことであった。なお、Defusedの分析によれば、CVE-2026-25089向けのエクスプロイトコードはAIを用いて開発された形跡(いわゆる「バイブコーディング」)があり、動作に不具合を抱えている可能性があるという。
背景とFortinet製品を狙う攻撃の傾向
Fortinetの製品はランサムウェアグループや国家支援型サイバー諜報活動において繰り返し標的とされており、CISAは現在26件のFortinet CVEが実際の攻撃に悪用されていることを把握し、そのうち13件はランサムウェア組織による悪用が確認されている。FortiSandboxはこれまで比較的攻撃対象として目立っていなかった製品だが、今回の悪用確認はその状況が変化しつつあることを示す。また、AIによる脆弱性調査や悪用コード開発の加速が、攻撃者の公開済み脆弱性への対応スピードを高めていることも懸念される。
推奨される対応策
Fortinetはすべての影響を受けるバージョンに対してパッチを提供済みであり、各組織は速やかにFortiSandboxを最新バージョンへアップグレードすることが強く推奨される。あわせて、多要素認証(MFA)の有効化とセキュリティ認証情報の定期的な更新も実施すべきとされている。パッチ適用が即座に困難な場合は、FortiSandboxへのネットワークアクセスを信頼済みの送信元に限定するなど、緩和策を検討する必要がある。