チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「うちのFortiSandbox、バージョン確認なんてしばらくやってない……」
「サンドボックス製品に脆弱性があるって、防御が突破されるってこと?」
チップスボス、サンドボックスって怪しいファイルを安全に検査する仕組みでしゅよね?
その製品自体に穴があったら、検査どころじゃないでしゅ!
ボスその通りだ。しかも今回の脆弱性は認証なしで悪用できる。
つまり、FortiSandboxにネットワーク越しにアクセスできれば、誰でも攻撃できてしまうということだ。
Fortinetは2026年4月14日、FortiSandboxに存在する2件の重大脆弱性を公表しました。
どちらもCVSSv3スコア9.1以上という深刻度で、認証なしでのリモート攻撃が可能です。
FortiSandboxを導入している組織にとって、即座の対応が求められます。
脆弱性の技術的な仕組みと具体的な対処法を、順を追って解説します。
Fortinetが公表した2件の脆弱性は、いずれもFortiSandboxのAPI処理に起因する問題です。
セキュリティ製品そのものに深刻な穴が見つかったという点で、インパクトの大きいニュースです。
今回公表された脆弱性の概要は以下の通りです。
| 項目 | CVE-2026-39808 | CVE-2026-39813 |
|---|---|---|
| 脆弱性の種類 | OSコマンドインジェクション | パストラバーサルによる認証バイパス |
| CVSSv3 | 9.8 | 9.8 |
| 攻撃条件 | 認証不要・リモート | 認証不要・リモート |
| 影響 | 任意のOSコマンド実行 | 権限昇格 |
| 影響バージョン | 4.4.0〜4.4.8 | 4.4.0〜4.4.8、5.0.0〜5.0.5 |
| 修正バージョン | 4.4.9以降 | 4.4.9以降 / 5.0.6以降 |
CVE-2026-39808は、FortiSandboxのAPIコンポーネントに存在するOSコマンドインジェクションです。
細工されたHTTPリクエストを送信するだけで、認証なしに任意のコマンドを実行できます。
KPMG SpainのSamuel de Lucas Maroto氏が発見しました。
CVE-2026-39813は、JRPC APIにおけるパストラバーサルを利用した認証バイパスです。
こちらもHTTPリクエスト経由で認証を迂回し、権限を昇格させることが可能です。
Fortinet社内のPSIRTチーム(Loic Pantano氏)が発見しています。
チップスどっちも認証なしで攻撃できるんでしゅか……
外部に公開してなくても危ないんでしゅか?
ボス内部ネットワークからでも攻撃は成立する。
VPN経由で侵入された後、横展開の踏み台にされるリスクもあるから油断はできない。
現時点で実際の攻撃での悪用は報告されていませんが、CVSSスコアの高さと攻撃の容易さから、悪用が始まるのは時間の問題です。
FortiSandboxを運用している組織は、以下の手順で対応してください。
Fortinetは近年、VPN製品のFortiClientやFortiOSでも重大脆弱性が相次いでいます。
Fortinet製品を複数運用している組織は、FortiGuard PSIRTのアドバイザリページを定期的にチェックする運用体制を整えておくことが欠かせません。
FortiSandboxに見つかった2件の脆弱性は、どちらも認証不要・リモートから悪用可能という、最も警戒すべきタイプの問題です。
セキュリティ製品だからこそ、攻撃者にとっては高い価値のあるターゲットになります。
まだ悪用は報告されていませんが、CVSSv3で9.8という深刻度を考えると、アップデートは今日中に着手すべきでしょう。
Fortinet製品をひとつでも使っているなら、今回のパッチサイクルで公表された他の11件の修正も併せて確認してください。
チップスバージョン確認、さっそくやるでしゅ!
ボスに怒られる前に終わらせるでしゅよ!
ボスふふふ、その意気だ。
セキュリティ製品のパッチを後回しにするのは、鍵屋の鍵が壊れたまま営業するようなものだからな。
