2026年4月4日、FortinetはFortiClient EMSのCritical脆弱性 CVE-2026-35616 に対するPSIRT情報(FG-IR-26-099)を公開した。公開情報(Fortinet PSIRT/CSAF、NVD、CISA KEV、Check Point、TrueConf)を突合すると、2026年3月末から4月初旬にかけて、組織の「集中管理プレーン」を狙うゼロデイ圧力が同時進行で高まっていることが読み取れる。本稿は、FortiClient EMSの非認証RCE成立条件を技術的に分解し、Chrome CVE-2026-5281およびTrueConf CVE-2026-3502と並べて、防御設計の優先順位を再定義するものである。

CVE-2026-35616の確定情報と「非認証RCE」への到達条件

FortinetのCSAFおよびNVD記述では、CVE-2026-35616は「Improper Access Control(CWE-284)」であり、影響対象はFortiClient EMS 7.4.5〜7.4.6(加えて7.2系は修正対象外/Not Applicable表記)である。NVDの公開日は2026年4月4日、CVSS v3.1は9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)である。

ここで重要なのは、脆弱性名が単純な「認可欠陥」に見えても、PR:NかつUI:Nでコード実行/コマンド実行に到達し得ると記述されている点である。すなわち、攻撃面は管理者ログイン後の誤操作誘発ではなく、管理API境界での認証・認可判定不整合に寄る可能性が高い。公開済みPoCや詳細パケットは現時点で限定的であるため、以下の連鎖は公開情報に基づく推定である。

推定チェーンは、(1) 外部到達可能なEMS API/管理エンドポイントへの到達、(2) セッション/トークン/権限境界のバイパス、(3) 管理処理系(スクリプト実行、ジョブ処理、設定反映、またはそれに準じる機能)への入力注入、という3段である。Fortinetは2026年4月4日時点で「in the wild exploitation」を明記しており、7.4.5/7.4.6向けホットフィックス適用を緊急推奨している。

なぜEMSが狙われるのか: エンドポイント管理基盤の構造的価値

FortiClient EMSは単体エンドポイントではなく、ポリシー配布・状態監視・更新制御を担う中枢である。この種の管理基盤が侵害されると、攻撃者は1台ずつ侵入する必要がなくなる。運用上の信頼経路(管理サーバー→多数端末)を反転利用できるためである。

この性質は、2026年3月31日に公開されたCheck PointのTrueConf分析(CVE-2026-3502)とも一致する。TrueConf事例では、オンプレミス更新経路の検証不備を悪用し、中央サーバー経由で複数端末へ不正ペイロードを展開したと報告されている。脆弱性の技術実装は異なるが、「中央管理プレーンを奪えば末端展開が加速する」という攻撃経済は共通である。

2026年3月末〜4月初旬の同時期拡大: Chrome CVE-2026-5281との接続点

Chrome Stable更新(2026年3月31日公表)では、CVE-2026-5281(DawnのUse-after-free)についてGoogleが「in the wild exploit」を認識していると明記した。CISA KEVでは同CVEが2026年4月1日に追加され、是正期限は2026年4月15日である。

FortiClient EMS CVE-2026-35616(2026年4月4日公表)とChrome CVE-2026-5281(2026年3月31日公表、4月1日KEV追加)は、製品領域こそ異なるが、組織防衛に同時負荷を与える。前者は管理基盤の中枢侵害、後者はユーザー接触面(ブラウザ)からの初期侵入/権限拡張の踏み台化リスクである。さらにTrueConf CVE-2026-3502のような更新経路悪用型が並行すると、攻撃者は「入口(ブラウザ)」「配布路(更新)」「中枢(EMS)」を組み合わせる余地を得る。

防御設計: 2026年に必要な「管理プレーン前提」のゼロデイ運用

第一に、管理プレーン(EMS/MDM/配布サーバー)を通常サーバーと同列に扱ってはならない。到達経路をインターネット直結から切り離し、管理APIを踏み台可能なセグメントからも分離する必要がある。第二に、認証だけでなく認可判定の失敗動作を監査する。具体的には、未認証リクエストに対するHTTPステータス、トークン欠落時のハンドラ遷移、管理ジョブ実行APIの一貫性を継続テスト化することが有効である。

第三に、更新経路を「署名検証と配布元真正性の二重保証」で再設計する。TrueConf事例が示すように、中央更新の信頼が崩れると横展開速度が跳ね上がる。第四に、ゼロデイ公表直後72時間の運用SLOを明示する。すなわち、(a) 外部公開面の即時棚卸し、(b) ホットフィックス適用、(c) 高感度ログの短周期レビュー、(d) 未適用資産の業務停止判断である。

CVE-2026-35616は単発のFortinet問題に留まらない。2026年の実戦では、攻撃者は「多数端末を束ねる制御点」を最短経路で狙う。したがって防御側も、エンドポイント個別対策中心から、管理プレーン耐障害性中心へ重心を移すべきである。

FAQ

CVE-2026-35616は本当に非認証で悪用可能なのか

Fortinet PSIRT/CSAFおよびNVDは、認証不要(PR:N)で不正なコード/コマンド実行に到達し得る旨を示している。実装詳細は限定公開であるため、到達経路の細部は推定を含むが、緊急対応優先度は最上位である。

FortiClient EMS 7.2系はどう扱うべきか

FortinetのCSAFでは7.2系は「Not Applicable」と記載されている。一方で運用現場では露出状況や関連設定の確認が必要であり、公開面監査とバージョン棚卸しは実施すべきである。

Chrome CVE-2026-5281との関係は同一キャンペーンを意味するか

公開情報だけでは同一攻撃者・同一オペレーションと断定できない。本稿の論点は、同時期に異なる層(ブラウザ/管理基盤/更新機構)でゼロデイ圧力が上がったという構造的リスクである。

直近で最優先に実施すべき対策は何か

2026年4月6日時点では、FortiClient EMSホットフィックス適用、管理プレーンの到達制限、未認証APIアクセスの監視強化、更新配布経路の真正性検証の4点が最優先である。

参考文献