FortiClient EMSに深刻なゼロデイ脆弱性が発覚
2026年4月4日、Fortinetはエンドポイント管理製品「FortiClient EMS」に深刻な脆弱性(CVE-2026-35616)が存在することを公表し、緊急のホットフィクスをリリースしました。
そもそもFortiClient EMSとは何か。これは、企業が社内のPCやスマートフォンにインストールしたセキュリティソフト「FortiClient」を一元管理するためのサーバー製品です。
VPN接続の管理やセキュリティポリシーの配布、端末の状態監視を担う、いわば社内端末セキュリティの「司令塔」と言えるでしょう。
今回の脆弱性は、認証なしでリモートからコードを実行できるという極めて深刻なもの。
CVSSスコア(深刻度を示す指標、10点満点)は9.1で、3月31日の時点ですでに悪用が確認されていました。修正パッチの公開前から攻撃が行われていた、いわゆるゼロデイだったのです。米国のサイバーセキュリティ当局CISAはKEV(既知の悪用済み脆弱性カタログ)に追加し、連邦機関に今週中のパッチ適用を命じています。世界で2,000台以上のEMSサーバーが公開状態との報告もあり、影響は決して小さくありません。
なぜFortinet製品は攻撃者に狙われ続けるのか
今回の脆弱性は、Fortinet製品にとって「たまたまの一件」ではありません。
CISAが「実際に攻撃で悪用された」として公式登録したFortinet製品の脆弱性は、24件にのぼり、そのうち13件はランサムウェア攻撃に直接利用されています。
2026年だけでもすでに40件のCVEが公開されるなど、毎年のように致命的な欠陥が報告されてきたのが実情でしょう。
なぜこれほど狙われるのか。VPN機器やファイアウォールといったネットワーク境界の製品を突破できれば、社内ネットワーク全体への「入口の鍵」を手に入れたも同然だからです。
EMSのような管理サーバーなら、配下の全端末の情報や設定を掌握することも不可能ではありません。攻撃者にとって、一つの脆弱性から大きな成果が得られる極めて効率の良いターゲットなのです。
「狙われやすい製品を使わない」というセキュリティ対策
脆弱性が公表されたらパッチを当てる。これは基本中の基本であり、疑う余地はありません。
しかし、年に何十件もの脆弱性が発見される製品を使い続ける限り、パッチ適用の負荷は終わりません。情シス担当者にとって、この終わりのない対応がどれほどの重荷になっているか。
ここで視点を変えてみましょう。攻撃者に人気の高い製品を使わないこと自体が、有効なセキュリティ対策になり得るという考え方です。
これは「アタックサーフェス(攻撃者が狙える範囲)の縮小」の一環として、専門家の間でも重視されている観点と言えます。
Fortinet製品は高い機能性とコストパフォーマンスから多くの企業に採用されてきました。
ただし、製品選定の際に「機能」と「価格」だけで判断するのは危険です。「その製品がどれだけ攻撃者に研究され、実際に悪用されてきたか」という視点を加えることが欠かせません。
攻撃者は市場シェアの高い製品を優先的に研究し、日夜脆弱性を探しています。この現実を踏まえた製品選定こそ、情シス部門に求められる判断力ではないでしょうか。
今すぐ確認すべきポイント
最優先は、FortiClient EMSをご利用の場合のパッチ適用です。
対象バージョンは7.4.5から7.4.6で、Fortinetが公開したホットフィクスを速やかに適用してください。EMSがインターネットから直接アクセス可能な状態になっていないかの確認も欠かせません。
さらに中長期的には、自社で利用しているネットワーク機器やセキュリティ製品について、過去にどれだけの脆弱性が報告されているかを定期的にチェックする習慣を持ちましょう。
CISAのKEVカタログやベンダーのPSIRTページを確認するだけでも、リスクレベルが見えてきます。
次回の製品導入やリプレイスの際には、「この製品は攻撃者にどれだけ注目されているか」を選定基準に加えてみてはいかがでしょうか。パッチ適用という「事後対応」だけでなく、狙われにくい環境を作る「事前対策」の発想を、ぜひ経営層への提案に盛り込んでみてください。
