CVE-2026-35616:FortiClient EMS インフォスティーラーが企業ネットワークを襲う

2026年5月に観測された新たな攻撃キャンペーンは、FortinetのFortiClient Enterprise Management Server(EMS)に存在する深刻な脆弱性を通じて企業組織を標的としています。CVE-2026-35616として追跡されているこの欠陥により、攻撃者は認証を完全にバイパスし、有効な資格情報を一切持たずに管理者コマンドを実行できます。その結果、大規模に管理下の企業エンドポイントへ到達するFortiClient EMSインフォスティーラー攻撃が発生し、機密性の高い従業員データや組織データが深刻なリスクにさらされます。

これは限定的な標的型侵入ではありません。FortiClient EMSは大規模組織のエンドポイント管理の中核に位置するため、一度のエクスプロイト成功がサーバーが管理するすべてのデバイスに連鎖的に波及する可能性があります。

CVE-2026-35616が企業ネットワーク内部で攻撃者に許すこと

FortiClient EMSは、IT管理者が企業全体のエンドポイントセキュリティポリシー、VPN設定、ソフトウェア展開を一元管理できるように設計されています。その管理上のリーチこそが、CVE-2026-35616を非常に危険なものにしている理由です。

認証バイパスの脆弱性を悪用することで、攻撃者はサーバー上で正規の管理者行動を偽装する能力を得ます。その立場から、管理対象デバイスにソフトウェアをプッシュし、エンドポイント設定を変更し、通常であればセキュリティチームに警告を発する標準の認証チェックをトリガーすることなくリモートでコマンドを実行できます。2026年5月のキャンペーンでは、攻撃者はこのアクセスを利用して正規のFortinetパッチを装ったインフォスティーラーを配信しました。これは、悪意のあるペイロードを自動防御システムにも人間の監視者にも通常のメンテナンスのように見せかけるソーシャルエンジニアリングの層です。

Fortinetは、2026年4月にこの脆弱性がゼロデイとして実際に悪用されているのが確認された後、修正プログラムをリリースしました。これらのパッチをまだ適用していない組織は、引き続き露出した状態にあります。

インフォスティーラーが企業デバイスから収集する個人情報および認証情報データ

いったんインフォスティーラーがエンドポイントで実行されると、その範囲は広範です。最新のインフォスティーラーは、ローカルに保存されているものやデバイスを通過するものすべてを吸い上げるように作られています。保存されたブラウザの認証情報、セッションCookie、オートフィルデータ、パスワードマネージャーに保存されたパスワード、VPN資格情報、メールアカウントトークン、そして機密文書に関連するパターンに一致するファイルなどです。

企業デバイスでは、これが複合的なプライバシー問題を引き起こします。従業員はしばしば、個人と仕事の境界が曖昧になるタスクに仕事用マシンを使用します。侵害された1台のエンドポイントから、企業システムのログイン資格情報と、従業員がそのデバイスでたまたまアクセスした個人アカウントの両方が取得される可能性があります。セッションCookieは、攻撃者がパスワードをまったく必要とせずに被害者として認証でき、多くの場合多要素認証をバイパスできるため、特に有害です。

管理レイヤーを介した配信メカニズムが、この状況をさらに悪化させます。ペイロードが信頼された管理チャネルを通じて届くため、ユーザーレイヤーからの行動シグナルに依存するエンドポイント検出ツールは、初期配信段階でそれを捕捉できない可能性があります。

この攻撃は、信頼されたソフトウェアチャネルを配信手段として利用する他のキャンペーンと構造的な類似点を持っています。マルウェアを正規のツールに偽装するソーシャルエンジニアリング戦術は、2026年に複数の脅威クラスターにわたって繰り返し現れているテーマであり、攻撃者が見た目が正当なものと実際のものとの間のギャップを一貫して悪用していることを浮き彫りにしています。

エンタープライズ管理ツールの侵害が大規模に従業員プライバシーを危険にさらす理由

ほとんどのデータ侵害に関する議論は、データベースまたはアプリケーションレイヤーに焦点を当てています。FortiClient EMSのキャンペーンは、異なる、そして過小評価されているリスク、すなわち管理インフラストラクチャレイヤーでの侵害を浮き彫りにしています。

攻撃者が単一のエンドポイントそのものではなく、エンドポイントを管理するツールを制御すると、影響範囲は劇的に拡大します。1人の従業員のデバイスが侵害される代わりに、そのEMSインスタンス配下のすべてのデバイスが標的になる可能性があります。大企業の場合、単一の協調的なプッシュで同じ悪意のあるペイロードを受け取るマシンが数百台から数千台に及ぶ可能性があります。

これはまた、従業員プライバシーにとって、従来の企業データベース侵害とは異なる特定の問題を生み出します。個々のデバイスで実行されるインフォスティーラーは、組織自体が目にすることも中央で保存することもないデータ(個人の閲覧履歴、個人アカウントの資格情報、企業サーバーに決して触れなかったローカル保存ファイルなど)をキャプチャします。従業員は、自分のマシンから何が収穫されたかについてほとんど可視性を持たず、標準的な企業のインシデント対応プロセスは、分散したエンドポイントデータではなく集中型データストアを中心に設計されていることがよくあります。

プライバシーを重視する従業員とITチームが今すぐ行うべきこと

ITチームとセキュリティチームにとって、最優先事項はパッチ適用です。Fortinetは2026年4月にCVE-2026-35616の修正プログラムをリリースしました。これらのホットフィックスをまだ適用していないFortiClient EMSを実行している組織は、これを緊急課題として扱うべきです。組織はまた、EMSアクセスログで異常な管理者アクション、特に既知の管理者によって開始されていないソフトウェア展開や設定変更がないか監査する必要があります。

パッチ適用に加えて、このキャンペーンは、管理インフラストラクチャとより広範なネットワークとの間のセグメンテーションを見直す良いきっかけとなります。EMSサーバーは、強力なアクセス制御なしに公共のインターネットから直接到達可能であるべきではなく、管理インターフェースは内部に位置するユーザーに対しても追加の認証レイヤーを要求する必要があります。

個々の従業員にとっては、状況はより微妙です。管理された企業デバイスで何が実行されているかについての可視性は限られており、雇用主が関連パッチを適用したかどうかのコントロールはさらに限られています。いくつかの実用的な手順で、個人の露出を減らすことができます。

  • 仕事用デバイスのブラウザに個人アカウントの資格情報を保存しないようにします。 インフォスティーラーが実行された場合、それらの保存されたパスワードは最初にキャプチャされるものの一つです。
  • 可能であれば、個人アカウントには別の個人用デバイスを使用し、 そのトラフィックを完全に企業管理インフラストラクチャから切り離します。
  • 企業の業務目的外のトラフィックについては、仕事用デバイスで個人用VPNの使用を検討します。 このような管理レイヤー攻撃は管理チャネルとエンドポイントソフトウェアを標的にします。デバイス上で実行される個人用VPNは、ネットワークレベルでEMSを通じて配信されるインフォスティーラーキャンペーンが簡単に傍受できない、自身のブラウジングに対する暗号化されたトラフィックプライバシーの層を追加します。
  • 最も機密性の高い個人アカウントに対して、ハードウェアセキュリティキーまたはフィッシング耐性のある多要素認証(MFA)を有効にします。 セッションCookieがキャプチャされたとしても、ハードウェアベースの第二要素で保護されたアカウントへのアクセスは著しく困難になります。

FortiClient EMSインフォスティーラーエンタープライズ攻撃キャンペーンは、企業インフラストラクチャの侵害が個人のプライバシーイベントでもあることを明確に示すものです。パッチ適用はCVE-2026-35616が開く特定の扉を閉ざしますが、組織のセキュリティ態勢と管理対象デバイス上での自身のデータ衛生の両方を見直すことが、より永続的な対応となります。