チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「FortiClient EMSって、自社で運用してるエンドポイント管理サーバでしゅよね?それが乗っ取られたらどうなるんでしゅか?」
「VPN経由でマルウェアが配布されるって、社員のPCが全部やられるってことでしゅか?」
チップスボス、FortiClient EMSの脆弱性が悪用されて、EKZっていう情報窃取マルウェアが配られてるんでしゅよね?想像するだけで怖いんでしゅけど…。
ボスそうだな。EMSはエンドポイント全台を統制する管理サーバだ。ここが乗っ取られると、企業の正規の配布経路を使ってマルウェアが全社に展開される最悪のシナリオになる。
2026年5月28日、攻撃者がFortiClient EMSの認証バイパス脆弱性CVE-2026-35616を悪用し、EKZ情報窃取マルウェアを企業環境へ配布している事案が報告されました。
本記事では、脆弱性の仕組み、攻撃の流れ、そして利用組織が今すぐ実施すべき対策を整理していきます。
FortiClient EMSは大企業のエンドポイント管理に広く採用されており、侵害は社内マルウェア拡散の起点になり得ます。
事件の概要、攻撃手口の流れ、そして組織が取るべき対策の順に深掘りしていきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
Fortinetは2026年4月初旬に緊急ホットフィックスをリリースしましたが、未適用環境への攻撃が継続しています。
攻撃は管理サーバ侵害から、VPN経由のスクリプト実行までを連続して行う仕組みです。
主な検出指標を以下の表に整理しました。
| 段階 | 確認すべきログ・痕跡 |
|---|---|
| 初期侵入 | 「Certificate not found in request header」エラーの頻発 |
| 権限濫用 | Remote Access Profile設定の予期しない変更 |
| 横展開 | Tor・VPS IPからの管理ログイン、新規アカウント作成 |
チップスEKZって、どんな情報を抜くマルウェアなんでしゅか?
ボスChromiumとFirefoxを標的に、認証情報、クレジットカード番号、住所、電話番号を抜く。さらにセッションCookieを盗むため、MFAを設定済みでもアカウント乗っ取りが成立してしまうのが厄介な点だ。
本攻撃の最大の特徴は、EMS本来のVPN管理機能を悪用してマルウェアを配布する点にあります。
攻撃者はEMSにbase64エンコードされたPowerShellペイロードを仕込み、IPsec接続直後に実行させます。
典型的な被害は以下の通りです。
チップス正規のVPN経由だからセキュリティ製品も警戒しないし、MFAも突破される…これは本当に厳しいでしゅね…。
ボスその通りだ。だからこそEDRの異常プロセス検知と、SaaSのセッション異常監視を併用する多層防御が重要になる。今回のような事案こそ、エンドポイント側の見直しが効くぞ。
BleepingComputerの報告とFortinet公式情報を踏まえ、対応の優先度は以下の通りです。
FortiClient EMSのようなセキュリティ製品の管理基盤への侵害は、攻撃者に正規のマルウェア配布経路を提供してしまいます。
セキュリティ製品も例外なく脆弱性管理の対象として扱い、設定変更の常時監視を組み込むことが現代の防御の前提です。
ボスセキュリティ製品は「守るもの」であると同時に「守るべきもの」だ。管理サーバの脆弱性を放置することは、自社で攻撃者に鍵を渡すに等しいぞ。
チップスうちのEMSのバージョンと設定、今すぐ確認するでしゅ。怖くて夜も眠れないんでしゅから!
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
