FortiClient EMS の CVE-2026-35616 を悪用:EKZ Infostealer 配布キャンペーンを検出

FortiClient Code Execution Flaw Exploited to Deploy EKZ Malware

2026/05/28 gbhackers — Fortinet の FortiClient Endpoint Management Server (EMS) に存在する深刻な脆弱性 CVE-2026-35616 が積極的に悪用されている。偽の Fortinet パッチを配布する新たな攻撃キャンペーンが展開され、認証情報を窃取するマルウェアが密かにインストールされている。この脆弱性を悪用する未認証の攻撃者は、FortiClient EMS API の認証をバイパスして特権リクエストを発行できる。その結果、管理対象全体に対するリモート・コード実行プラットフォームへと、管理サーバが変貌する恐れがある。

先日に Arctic Wolf Labs が確認したのは、この脆弱性を悪用することで、FortiClient EMS に依存する組織全体に対して、EKZ と呼ばれる新たな認証情報窃取型のマルウェアを配布する脅威クラスターである。

FortiClient EMS は、FortiClient エンドポイント/ポリシー/VPN 設定を集中管理するよう設計されているため、大規模攻撃を狙う攻撃者にとって、きわめて価値の高い標的となっている。

Command line usage details are shown when the credential stealer payload is executed without arguments. (Source: arcticwolf)
Command line usage details are shown when the credential stealer payload is executed without arguments. (Source: arcticwolf)

このキャンペーンを展開する攻撃者は、HTTP 経由で公開された EMS インスタンスへ接続し、有効な証明書や認証情報を必要とせずに、正当な管理操作として処理されるよう細工されたリクエストを送信する。

その過程で、”Certificate not found in request header” という特徴的な EMS ログ・エントリが残されることを、Arctic Wolf のアナリストが確認した。

その数秒後には、偽装された Fortinet Fabric デバイス ID からの更新成功を示すログが記録され、その直後には、複数の Tor exit ノード IP アドレスからの不正ログイン活動が確認されるなど、攻撃者がインフラを意図的に隠蔽していたことが示唆された。

EMS を侵害した攻撃者は、個別のエンドポイントを攻撃するのではなく、管理設定を改変する手法をとった。具体的には、ファームウェア通知設定の更新に加え、Remote Access Profile 設定およびエンドポイント・ポリシーを変更し、FortiClient 管理下のデバイス上で自動実行される悪意のスクリプトを挿入した。

EMS は、SSL/IPsec VPN 設定を、エンドポイントに配布する。それにより、正規の on_connect 動作を悪用する攻撃者は、ペイロードのサイレント実行が可能となるが、その中には、VPN トンネル接続時に実行されるスクリプトも含まれる。

An example log file emitted by the credential stealer.(Source: arcticwolf)

エンドポイントが FortiGate ファイアウォールへの IPsec トンネルを確立すると、FortiClient コンポーネントである “fortitray.exe” などが、FortiClient の “logs\Trace\scripts” ディレクトリ内に配置され、通常のトラブルシューティング・アーティファクトに偽装された GUID ベースの “.cmd” スクリプトが実行される。

これらのコマンド・スクリプトは、Base64 エンコードされた PowerShell スクリプトを実行するという、多段階の感染チェーンを構成している。攻撃者が制御するサーバ “83.138.53[.]110” からペイロードをダウンロードし、複数のフォールバック手法により信頼性を確保しながら保存と実行を達成し、約 90 秒の待機を経て HTTP POST により上記のサーバへ向けてデータを外部送信する。

その痕跡として、複数エンドポイントにおいて共通するプロセス・ツリーが確認されている。FortiClient VPN またはトレイ・プロセスが “cmd.exe” を経由して “powershell.exe” を起動し、ダウンロード・スクリプトの実行を経て、最終的に “FortiEndpoint_Patch.exe” を起動する。それにより、被害者やログ・システムに対して、正規の Fortinet 更新プログラムであるかのように誤認させていた。

“FortiEndpoint_Patch.exe” は、攻撃者インフラ上では “p.exe” としても配布されていたが、このファイルを解析した結果、MinGW でコンパイルされた未報告の Windows 用認証情報窃取ツールが確認された。これを、Arctic Wolf は EKZ Infostealer と命名した。このツールは Chrome/Edge などの Chromium ベース・ブラウザおよび Firefox などの Gecko ベース・ブラウザから、データを収集する機能を備えている。

Chromium 系ブラウザにおいて EKZ Infostealer は、レジストリ経由でインストール済みブラウザを特定した後に、Local State ファイルから os_crypt.app_bound_encrypted_key を取得し、自身を Application ディレクトリへコピーして再実行することで、Chromium の権限昇格サービス・チェックを通過していた。

その上で、Windows インターフェイスの IElevator::DecryptData を呼び出して AES-256 マスターキーを導出し、ユーザー・プロファイルを走査しながら SQLite データベースを復号し、パスワード/Cookie/オートフィル・データを窃取した。

また、Firefox および Gecko 系ブラウザに対しては、”nss3.dll” を介して NSS ライブラリを動的ロードし、key4.db/logins.json/cookies.sqlite などの認証情報ストアを標的とした。そこで収集されたデータは、内部 SQLite ベースのデータベースへ集約され、ProgramData 配下の “log.txt” に書き込まれた後に、前述の PowerShell スクリプトにより定期的に攻撃者サーバへと送信される仕組みとなっている。

こうして窃取された情報には、保存済みパスワード/ログイン・バイパスのためのセッション情報/MFA 回避を可能にする Cookie のほか、クレジットカード情報/住所/電話番号などの機密性の高いオートフィル・データが含まれていた。

Arctic Wolf は、同一サーバから追加のサンプルも回収している。そこに含まれていたのは、ZIP/MSI 形式の偽 FortiEndpoint パッチや、”Microsoftr Windowsr Operating System-Installer.exe” という誤記を含むトロイの木馬化したインストーラなどである。それにより示唆されるのは、このキャンペーンに関連するツール開発が現在も継続的に行われていることである。

Arctic Wolf が指摘するのは、この活動は、フィッシングや単体マルウェアに依存するのではなく、信頼される管理インフラを武器化する方向へと、攻撃者の戦術が移行している傾向である。

実際に、脆弱性 CVE-2026-35616 を悪用する脅威アクターは、FortiClient EMS への特権アクセスを獲得し、正規のパッチ配布および VPN 自動化パイプラインを、EKZ Infostealer を配布するための効率的なチャネルへ転用している。

影響を受ける FortiClient EMS を運用する組織に対して、強く推奨されるのは、修正済みバージョンへの速やかなアップグレードを済ませた上で、EMS 管理ポート 8013 へのアクセスを、信頼済み管理 IP 範囲のみに制限することである。

それに加えて、防御側にとって必要なことは、異常な EMS ログ/Tor 由来ログイン/VPN トリガー型スクリプト実行チェーン/”83.138.53[.]110″ 宛の不審なアウトバウンド HTTP 通信を監視することである。さらに、影響を受ける可能性があるユーザーに対して、ブラウザ保存認証情報のリセットとアクティブ・セッションの無効化を検討する必要がある。

侵害指標 (IoC)
IndicatorTypeDescription
83[.]138.53[.]110IP AddressThreat-actor-controlled C2/payload host
185[.]220.101.15IP AddressTor exit node used for login
192[.]42.116.14IP AddressTor exit node used for login
0da123adf9251957a4b850a3f6bd6a753dd4892be176a84a18450e899534cc5eSHA-256EKZ Infostealer (FortiEndpoint_Patch.exe)
FortiEndpoint_Patch.exe / p.exeFilenameMalicious credential stealer binary
hxxp[:]//83.138.53[.]110/dl/p.exeURLPayload delivery URL

注: IP アドレスおよびドメインは意図的に無効化されている (例: [ ] )。解決は MISP/VirusTotal/SIEM などの管理環境内でのみ実施すること。

訳者後書:この攻撃キャンペーンの背景にあるのは、管理システムである FortiClient EMS に存在する CVE-2026-35616 という深刻な脆弱性です。この問題により、本来であれば厳重に守られているはずの API 認証が未認証の攻撃者により回避され、特権操作が行える状態になってしまいました。特に、管理サーバが持っている、”各端末へ設定やスクリプトを配布する” ための便利な機能が逆手に取られ、マルウェアを自動配布するための踏み台として悪用された点が非常に巧妙です。信頼されているインフラが攻撃の起点となるため、端末側で偽のパッチを見分けることが難しく、結果として被害が広がりやすくなっています。よろしければ、2026/04/04 の「FortiClient EMS ゼロデイ脆弱性 CVE-2026-35616:実環境での悪用とホットフィックス」と 2026/04/06 「FortiClient EMS の脆弱性 CVE-2026-35616/21643:積極的な RCE 攻撃を観測」も、ご参照ください。