最近、FortinetのFortiClient EMSで発見された脆弱性CVE-2026-35616が、実際の攻撃に悪用されている兆候が確認されました。本脆弱性は、EMSサーバーのリクエスト処理ロジックに起因するものであり、認証なしで悪用された場合、リモートコード実行(RCE)やシステムの乗っ取りにつながる可能性があります。本件は単なる脆弱性の告知にとどまらず、すでに攻撃の試みが観測されている点、さらに外部に公開された資産が多数存在する点から、攻撃対象領域の観点でのリスクが強く指摘されています。
本記事では、CVE-2026-35616の技術的特徴と想定される攻撃フローを整理し、Criminal IPを通じて確認された外部に公開されたFortiClient EMS資産が、実際の攻撃可能な状態とどのようにつながるのかを考察します。
FortiClient EMS脆弱性の概要
| 脆弱性ID | CVE-2026-35616 |
| 影響製品 | FortiClient EMS |
| 脆弱性タイプ | 認証バイパス/リモートコード実行 |
| CVSS スコア | Critical (実際の攻撃での悪用が確認) |
| 攻撃条件 | 認証不要(Pre-authで実行可能) |
| 影響範囲 | 外部に公開されたEMSサーバー |
FortiClient EMSは、組織内のエンドポイントセキュリティポリシーを中央で管理するサーバーであり、クライアントの配布やアップデート、アクセス制御などの重要な機能を担っています。このような特性から、EMSサーバーが侵害された場合、単一システムの問題にとどまらず、組織全体のエンドポイント環境に影響が及ぶ可能性があります。
攻撃フロー分析
攻撃者はまず、インターネット上に公開されたFortiClient EMSサーバーを探索する段階から開始します。EMSはWebベースの管理インターフェースを提供しているため、一般的なサービス識別やポートスキャンによって比較的容易に存在を確認できます。その後、脆弱なエンドポイントに対して細工されたリクエストを送信すると、サーバーはこれを正規のリクエストとして処理し、認証を経ずにコード実行が可能となります。このプロセスはユーザーの操作を必要とせず、単一のリクエストだけで初期侵入が成立する可能性があります。侵入後は、Webシェルの設置、内部ネットワークへのアクセス、追加の権限取得といった後続の攻撃が行われる可能性があります。EMSの役割上、これらの攻撃は組織内部全体へと拡大するリスクが高いと考えられます。
Criminal IPで観測された外部公開FortiClient EMS資産
本分析では、FortiClient EMSのWebインターフェースを識別するために、faviconベースの検知手法を活用しました。
Criminal IP検索クエリ: favicon: -2fb77099
このfavicon値は、FortiClient EMSで使用されるWebアイコンをもとに導出された識別子であり、同一の管理UIを持つ資産を特定するために利用されます。
2026年4月17日時点の検知結果では、500件以上のFortiClient EMS関連資産がインターネット上に公開されていることが確認されており、その一部はHTTPSを通じて外部から直接アクセス可能な状態でした。これらの資産はログインページを提供しているものの、本脆弱性の特性上、認証前の段階で攻撃が成立する可能性があり、実質的なリスクが存在します。これは単なるサービス公開の問題にとどまらず、攻撃者が即座に利用可能な管理システムが外部に露出している状況といえます。
Criminal IPを通じて確認された特定の資産を見ると、ポートの公開にとどまらず、複数のサービスやWebインターフェースが同時に外部へ公開されている構成が確認されます。当該資産はHTTPS経由でアクセス可能であり、バナー情報やレスポンスデータから、管理機能を含むWebインターフェースが公開されている可能性が示唆されます。また、さまざまなメタデータが取得されている点から、このシステムはテスト環境ではなく、実際に運用中のサーバーである可能性が高いと考えられます。このような環境では、攻撃者がサービスの種類を特定し、バージョンを推定したうえで、段階的に攻撃経路を拡張することが可能になります。
特にFortiClient EMSのような管理システムが同様の形で外部に公開されている場合、認証前の脆弱性と組み合わさることで、非常に低い難易度で初期侵入が成立する可能性があります。その結果、組織全体のセキュリティ環境に影響を及ぼす攻撃へと発展するリスクがあります。
対応策および推奨事項
まず優先的に、Fortinetが提供する最新のセキュリティパッチを迅速に適用する必要があります。脆弱な状態が維持されている場合、外部に公開された環境では攻撃対象となる可能性が高まります。あわせて、EMSサーバーが外部からアクセス可能な状態になっていないかを確認し、不要であればアクセスを遮断するか、内部ネットワークまたはVPN経由のみに制限することが重要です。また、サーバーログをもとに異常なリクエストや不審な挙動を継続的に監視することも必要です。
脆弱性対応は単にバージョンを更新するだけでなく、当該資産が実際に攻撃対象領域として公開されているかどうかまで確認するプロセスをあわせて行うことが重要です。
FAQ
Q1. ログインページが存在すれば安全といえますか。
ログインインターフェースが存在していても、本脆弱性は認証前の段階で悪用される可能性があるため、防御手段として十分に機能しない場合があります。そのため、外部公開の有無自体がより重要な判断基準となります。
Q2. EMSサーバーは内部システムなのに、なぜ外部公開が発生するのですか。
運用上の利便性やリモート管理の必要性、あるいは設定ミスなどにより、管理サーバーが外部に公開されるケースは少なくありません。このような環境では、意図せず攻撃対象領域が拡大してしまいます。
結論
CVE-2026-35616はFortiClient EMSで発生した脆弱性ですが、本質的には外部に公開された管理システムがどのように実際の攻撃経路へとつながるのかを示す事例といえます。500件以上のEMS資産がインターネット上に公開されている状況では、脆弱性の悪用は単なる可能性ではなく、現実的な脅威となります。特に認証前の段階で攻撃が成立する構造は、従来の防御手段を回避しやすい点で大きなリスクとなります。
そのため、本件の対応はパッチ適用だけにとどまりません。外部に公開された資産を特定し、実際の攻撃可能性に基づいて対応の優先順位を設定することが重要です。Criminal IPを活用することで、このようなプロセスをより効率的に進めることができ、実践的なセキュリティ対策の構築に役立ちます。
関連して、CVE-2026-34197: Apache ActiveMQ RCE脆弱性分析 の記事も参考になります。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), The Hacker News(https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html), Bleeping Computer(https://www.bleepingcomputer.com/news/security/new-fortinet-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/)
関連記事: https://testweb.criminalip.io/ja/knowledge-hub/blog/8550
