CVE-2026-35616：偽パッチを介してFortiClient EMSが悪用され、EKZインフォスティーラーを投下

CVE-2026-35616：偽パッチを介してFortiClient EMSが悪用され、EKZインフォスティーラーを投下

Fortinet の FortiClient Endpoint Management Server に存在する重大な脆弱性が、現在実際の攻撃で活発に悪用されています。CVE-2026-35616として追跡されるこの脆弱性は、極めて巧妙な手口、すなわち偽のソフトウェアパッチを通じて、EKZインフォスティーラーというマルウェアを展開するために脅威アクターに利用されています。FortiClient EMS の脆弱性を突いた認証情報窃取キャンペーンは、一元化されたエンドポイント管理に依存する組織を標的とし、自社のセキュリティインフラそのものを攻撃経路へと変貌させます。

分散またはリモートのワークフォースを管理するITおよびセキュリティチームにとって、これは抽象的な脅威ではありません。攻撃チェーンは正規のものに見えるように設計されており、それが特に危険な理由です。

CVE-2026-35616が実環境で悪用されている手口

CVE-2026-35616はCVSSスコア9.1を記録しており、FortiClient EMS内での認証前バイパスと権限昇格を可能にします。実質的には、攻撃者は有効な資格情報なしに管理サーバーにアクセスし、高い権限レベルでコマンドを実行できます。

このキャンペーンを典型的なエクスプロイトの試みと一線を画すのは、その周囲に施されたソーシャルエンジニアリングの層です。脅威アクターは、影響を受けるソフトウェアの正規アップデートを装った偽のパッチを配布しています。管理者または管理対象のエンドポイントがこの不正なパッチを処理すると、バックグラウンドで悪意のあるPowerShellコマンドが密かに実行されます。被害者には通常のアップデートのように見えますが、攻撃者は足がかりを得ます。

Fortinetは、この脆弱性がゼロデイ脆弱性として悪用されていたことを確認した後、4月にホットフィックスを発行しました。つまり、修正が利用可能になる前に攻撃が進行していたことになります。これらのホットフィックスを適用していない組織は依然として危険にさらされていますが、パッチが適用された環境であっても、修復前に偽パッチのルアーがすでに配信されていた場合はリスクが残る可能性があります。

EKZインフォスティーラーが窃取するものとリスクにさらされる対象

悪意のあるPowerShellコマンドが実行されると、EKZインフォスティーラーが侵害されたエンドポイントに展開されます。その主な目的は認証情報の収集です。このマルウェアは特に、一般的に使用されるブラウザに保存されたユーザー名やパスワードなどのブラウザ保存認証情報や、管理対象マシン上でアクセス可能なその他の機密データを標的とします。

FortiClient EMSは単一のコンソールから組織全体のエンドポイントを管理するように設計されているため、侵害が成功した場合、1台のマシンだけに影響がとどまりません。EMSサーバーを通じてアクセス権を取得した攻撃者は、その管理傘下にあるすべてのエンドポイントに到達できる可能性があります。これにより、単一のエクスプロイトイベントの影響範囲は、スタンドアロンデバイスの侵害よりもはるかに大きくなります。

最も直接的なリスクに直面するのは、FortiClient EMSを使用してリモートまたはハイブリッドのワークフォースを管理している組織です。そこではエンドポイントがホームネットワーク、ブランチオフィス、その他従来の企業境界外の環境に分散しています。リモートワーカーは利便性からブラウザに認証情報を保存することが多く、それらのエンドポイントはインフォスティーラーにとって価値の高い標的となります。

リモートチームにエンドポイントセキュリティツールだけでは不十分な理由

このキャンペーンには痛烈な皮肉が込められています。FortiClient自体がエンドポイントセキュリティ製品であり、その管理サーバーがマルウェアの配信メカニズムとして利用されているのです。これは、セキュリティチームが理論上は認識しつつも実運用に落とし込むのに苦心している、より広範な原則を浮き彫りにします。すなわち、単一のセキュリティツールだけで十分ということは決してないということです。

エンドポイントセキュリティプラットフォームは防御戦略の貴重な構成要素ですが、それ自体もソフトウェアであり、ソフトウェアには脆弱性が存在します。一元管理ツールが侵害されると、本来強制すべき保護機能が無力化される可能性があります。攻撃者はこのことを理解しており、管理インターフェースやセキュリティインフラが優先度の高い標的となっているのはそのためです。

特にリモートチームにとって、攻撃対象領域は管理対象デバイスをはるかに超えて広がります。ネットワークトラフィック、認証情報の伝送、認証フローはすべて、組織が完全に制御できない環境を通過します。ネットワークレベルの保護、ゼロトラストアクセスポリシー、強固な認証情報衛生慣行などの多層的な制御は、エンドポイントセキュリティツールを補完するために必要不可欠なものであり、任意の追加要素ではありません。

このキャンペーンで用いられた偽パッチの配信方法は、アップデートプロセスそのものが悪用されうることも浮き彫りにしています。従業員や管理者が要求に応じてパッチをインストールするように条件付けられている場合、攻撃者はその行動を武器化することができます。インストール前に公式ベンダーチャネルを通じてパッチの信頼性を検証することは、このキャンペーンが特に回避しようと試みている重要なステップです。

偽パッチおよびインフォスティーラー攻撃から組織を強化する方法

FortiClient EMSを実行している組織にとって、当面の最優先事項は、Fortinetの公式ホットフィックスを、検証済みのアップデートチャネルを通じてのみ適用することです。電子メール、チャット、または見慣れないインターフェースを介して配信されるプロンプトやリンクに頼ってはいけません。

緊急のパッチ適用に加えて、優先的に取り組む価値のある具体的なステップは次のとおりです。

• 管理対象エンドポイントに侵害の兆候がないか監査する。 予期しないPowerShell実行イベント、異常なアウトバウンド接続、またはブラウザデータストアにおける認証情報スクレイピング活動の痕跡を探します。
• 管理サーバーへのアクセスを制限する。 FortiClient EMSは、厳格なアクセス制御なしに公共のインターネットに公開すべきではありません。誰がどのような経路で管理インターフェースに到達できるかを制限します。
• すべてのリモートアクセスポイントで多要素認証を強制する。 盗まれたブラウザ認証情報は、企業システムへの直接アクセスを提供する場合に最も危険です。MFAはその連鎖を断ち切ります。
• 管理者に偽パッチの手口について教育する。 ITスタッフを標的としたソーシャルエンジニアリング攻撃はますます一般的になっています。その手口を理解しているチームは、引っかかる可能性が低くなります。
• リモートエンドポイント向けのネットワークレベル制御を評価する。 リモートデバイスからのトラフィックを暗号化し認証するツールは、特にエンドポイントセキュリティツール自体が侵害された場合に、エンドポイントセキュリティを補完する保護層を追加します。

CVE-2026-35616のキャンペーンは、パッチが適用された脆弱性と完全に緩和された脅威との違いを理解することが重要であることを改めて示しています。ホットフィックスが適用された後でも、組織は自社環境で偽パッチのルアーがすでに実行されていないかどうかを調査する必要があります。パッチ適用のタイミングと補完的制御はどちらも方程式の一部であり、まさにそれが、セキュリティフレームワークがエンドポイント保護をスタンドアロンのソリューションではなく、多層防御の中の一つの層として扱う傾向を強めている理由です。

あなたの組織がリモートワークフォースを管理しているならば、今こそFortiClient EMSの展開だけでなく、より広範な多層セキュリティ戦略を監査する良い機会です。次のキャンペーンが悪用する前にギャップを特定することは、認証情報がすでに盗まれた後に対応するよりもはるかに優れたポジションです。