チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「うちのFortiClient EMS、最新パッチ当ててたっけ…?」
「エンドポイント管理サーバーが攻撃されたら、全端末が危険にさらされるのでは?」
チップスボス!FortiClient EMSにヤバい脆弱性が出たって聞いたでしゅ!しかも、もう攻撃されてるって…!
ボスああ、CVE-2026-35616だな。CVSSスコア9.8のクリティカル。認証なしでリモートからコード実行できる、最悪レベルの脆弱性だ。エンドポイント管理サーバーを乗っ取られれば、管理下の全端末に影響が出る。
2026年4月4日、Fortinetが緊急ホットフィックスを公開したこの脆弱性は、すでに攻撃者に悪用されています。
FortiClient EMSを運用している企業は、即座の対応が求められる状況です。
この記事では、CVE-2026-35616の技術的な中身と、企業が今すぐ取るべき対策を解説します。
パッチ適用の判断材料として、ぜひ最後までお読みください。
FortiClient EMSは、企業内のエンドポイント(PC・スマートフォンなど)を一括管理するサーバー製品です。
今回の脆弱性は、そのAPIコンポーネントに存在するアクセス制御の不備が原因でした。
攻撃者は認証情報を一切持たなくても、細工したHTTPリクエストを送るだけでサーバー上でコードを実行できます。
セキュリティ企業watchTowrによると、最初の悪用は2026年3月31日に記録されました。
つまり、Fortinetが公式パッチを出す前から攻撃が始まっていた「ゼロデイ」状態です。
影響範囲をまとめると以下の通りです。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| CVSSスコア | 9.8(クリティカル) |
| 影響製品 | FortiClient EMS 7.4.5 / 7.4.6 |
| 攻撃条件 | 認証不要・リモートから実行可能 |
| 悪用状況 | 2026年3月31日から確認済み |
FortiClient EMS 7.2系は影響を受けません。
ただし、7.4系を使用中の企業は、バージョンを問わず確認が必要です。
チップス認証なしで乗っ取れるって、パスワード管理とか関係ないってことでしゅか…?
ボスそうだ。どれだけ強固なパスワードを設定していても、この脆弱性の前では意味がない。だからこそ、パッチ適用のスピードが命なんだ。
エンドポイント管理サーバーは、企業内の全端末にソフトウェアを配布したり、ポリシーを適用する「司令塔」です。
ここが侵害されると、攻撃者は管理下の端末すべてにマルウェアを配布できてしまいます。
Fortinetは対象バージョン向けにホットフィックスを公開済みで、完全な修正はバージョン7.4.7で提供される予定です。
対応の優先順位は以下を参考にしてください。
過去にもFortinetの製品ではCVE-2023-48788など複数の深刻な脆弱性が悪用されてきました。
エンドポイント管理製品は攻撃者にとって「一度の侵入で最大の成果を得られるターゲット」であり、今後も狙われ続けるでしょう。
ボスエンドポイント管理は便利だが、その管理サーバー自体のセキュリティがおろそかでは本末転倒だ。守る側のツールが攻撃の入口になる。この矛盾を常に意識しておけ。
チップス管理サーバーが乗っ取られたら全部おしまいでしゅもんね…。パッチ適用、急がなきゃでしゅ!
CVE-2026-35616は、認証なしでリモートからコードを実行できるという極めて深刻な脆弱性です。
FortiClient EMS 7.4.5/7.4.6を利用中の企業は、ホットフィックスの即時適用を強くおすすめします。
また、エンドポイント管理サーバーのネットワーク露出を最小限に抑える運用を日頃から心がけましょう。
