2,000+ FortiClient EMS Instances Exposed Online Amid Active RCE Vulnerability Exploits in the Wild
2026/04/06 CyberSecurityNews — FortiClient Enterprise Management Server (EMS) に存在する、2 件の未認証リモートコード実行 (RCE) 脆弱性がアクティブに悪用されている。The Shadowserver Foundation が管理者に対して発出した緊急警告は、世界中で 2,000 以上の公開インスタンスが確認されたというものだ。
脆弱性 CVE-2026-35616/CVE-2026-21643 は、いずれも未認証 RCE として分類され、Fortinet の FortiClient EMS プラットフォームに影響を及ぼす。
1 つ目の CVE-2026-35616 は新たに公開された脆弱性であり、2 つ目の CVE-2026-21643 は最近になって注視されている脆弱性である。両者とも実環境での悪用が確認されており、認証を必要としない攻撃者たちが、未パッチ環境に対して攻撃を仕掛けている。
未認証の RCE は、最も深刻な脆弱性カテゴリに属する。ユーザー名やパスワードを必要としない攻撃者が、脆弱なサーバ上で任意のコード実行を仕掛け、対象となるシステムとエンドポイントの完全な制御を奪取する可能性がある。
露出規模:世界で 2,000 インスタンス
Shadowserver のグローバル・センサー・ネットワークにより、約 2,000 の FortiClient EMS インスタンスがインターネットへ公開されていることが確認された。公開ダッシュボード・データによると、米国とドイツが最大の影響を受けている。
エンタープライズ環境の VPN クライアント/セキュリティ・ポリシーを集中管理する FortiClient EMS は、エンドポイント管理ソリューションとして用いられるため、この露出は重大な影響を持つ。
この種の EMS サーバの侵害に成功した攻撃者は、エンドポイント・コンフィグを操作することで、悪意のポリシー配布や VPN クレデンシャルの窃取を実行し、組織全体のエンドポイントへの持続的な侵入を確立する。
Fortinet 製品が継続的に攻撃対象となっている傾向と、Shadowserver の警告と一致する。CISA の KEV カタログに頻繁に掲載される Fortinet 製品は、企業環境への初期の侵入手段として、国家支援型の攻撃グループやランサムウェア犯罪者たちに優先的に悪用されている。
対策
FortiClient EMS を運用する組織は、以下の対応を即時実施する必要がある:
- 脆弱性 CVE-2026-35616/CVE-2026-21643 対応パッチを即時適用する。
- インターネットの公開される EMS 管理インターフェイスへのアクセスをファイアウォールまたは VPN 制御により制限する。
- ログの確認/不審な挙動の検出/不正コンフィグ変更/異常なアウトバウンド通信を検知する。
- Shadowserver ダッシュボードを監視し、自組織のネットワーク露出の状況を継続的に把握する。
- SIEM または EDR において、これらの CVE に関連する脅威検知アラートを有効化する。
Fortinet の公式セキュリティ・アドバイザリが推奨するのは、修正済みファームウェアへの即時のアップグレードである。実環境での悪用が確認されているため、対応の遅延は許容されない。
Fortinet の FortiClient EMS に存在する脆弱性 CVE-2026-35616/CVE-2026-21643 が、実際の攻撃で悪用されています。一連の問題の原因は、API のアクセス制御不備や SQL インジェクションといった致命的なバグが重なり、未認証のリモート攻撃者にサーバを完全に乗っ取られる状態になっています。
Shadowserver Foundation の調査によると、インターネット上に公開されている FortiClient EMS インスタンスは約 2,000 件にのぼり、特に米国やドイツなどで、多くの露出が確認されています。これらのサーバが侵害されると、組織ネットワーク全体への持続的な侵入を許すことになります。ご利用のチームは、ご注意ください。よろしければ、2026/04/04 の「FortiClient EMS ゼロデイ脆弱性 CVE-2026-35616:実環境での悪用とホットフィックス」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.