チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「攻撃を見張るためのセキュリティ機器が、逆に侵入口になるなんてあるんでしゅか?」
「うちのネットワークの土台になっている装置が狙われたら、どうなっちゃうんでしゅか……」
チップス守り神だと思ってた装置が穴になるなんて、想像してなかったでしゅ……。
ボス守りの要ほど、攻撃者にとっては魅力的な的になる。FortiSandboxの一件はその典型だな。順に見ていくぞ。
本記事では、FortinetのFortiSandboxで実環境の悪用が報告された脆弱性について、何が起きたのかと、運用する組織が今すべきことを整理します。
読み終える頃には、セキュリティ機器そのものを「守る対象」として点検する視点が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まず何が報告されたのかを整理します。
脅威情報企業のDefusedは2026年6月16日、FortiSandboxの3つの脆弱性が攻撃者に悪用されていると報告しました。
FortiSandboxは、疑わしいファイルを隔離環境で実行して安全か判定する装置です。
ほかのFortinet製品はこの判定結果を頼りに動くため、土台が崩れると守り全体に影響が及びます。
悪用が確認された脆弱性は、いずれもすでに修正版が公開されています。
報告された3件を整理すると以下のとおりです。
| CVE番号 | 内容 |
|---|---|
| CVE-2026-39813 | JRPC APIのパストラバーサル(CVSS 9.1)。認証回避と権限昇格が可能 |
| CVE-2026-39808 | OSコマンドインジェクション。未認証でコード実行の恐れ |
| CVE-2026-25089 | Web UIのOSコマンドインジェクション。未認証で任意コマンド実行 |
チップス未認証って、ログインもしないで攻撃できちゃうってことでしゅか?
ボスそのとおり。IDもパスワードもいらん。だからこそ危険度が高いんだ。次でその仕組みを見ていくぞ。
最も深刻なCVE-2026-39813を中心に、何が危ないのかを掘り下げます。
パストラバーサルは、本来アクセスできないファイルの場所を細工した要求で指定し、想定外の領域へ入り込む攻撃です。
CVE-2026-39813では、JRPC APIに細工したHTTP要求を送ることで、認証の壁を飛び越えられます。
そのうえで権限昇格まで進めるため、装置を実質的に乗っ取られる恐れがあります。
影響を受けるのはFortiSandbox 5.0.0〜5.0.5と4.4.0〜4.4.8で、5.0.6以降と4.4.9以降で修正されています。
運用する組織が今すぐ確認すべき点は次のとおりです。
チップス修正版が出てるなら、もう安心していいんでしゅか?
ボス更新して初めて安心だ。実際に悪用されている以上、後回しは禁物だぞ。
FortiSandboxの一件は、守るための装置そのものが攻撃の的になる現実を示しています。
とくにCVE-2026-39813は未認証で認証回避から権限昇格まで進めるため、放置するほど危険が増します。
セキュリティ機器は止めにくいぶん更新を先送りしがちですが、悪用が始まった今は最優先で手をつけるべきです。
こうした脆弱性対応やインフラの防御を最前線で担いたい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
参考: Help Net Security「Attackers are exploiting FortiSandbox vulnerabilities」
参考: Fortinet PSIRT「FG-IR-26-112」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
