FortiClient EMS管理プレーンの信頼を逆手に取る実攻撃──CVE-2026-35616悪用で“正規更新”を装い認証情報を一斉窃取します

今日の深掘りポイント

• 管理プレーン奪取は“1対多”の効率で拡散します。EMM/EDRの配布機能を悪用されると、1台のサーバ侵害が数千台の端末に波及します。
• “正規更新”に偽装されると、EDR/IT運用の信頼境界が崩れ、ふだんの検知・承認フローそのものがバイパスされます。
• 端末上の認証情報・クッキー窃取は、クラウドSaaSやIDプロバイダへの二次侵害に直結します。オンプレに閉じた問題ではありません。
• インターネット露出のEMS、弱い認可や過剰権限、PowerShellの未制御が複合すると被害規模が跳ね上がります。
• いま必要なのは“急ぎのパッチ＋管理プレーンの隔離＋アイデンティティの緊急点検”という三位一体の対応です。技術対応と業務継続の判断を同時に回すべき局面です。

はじめに

FortiClient Endpoint Management Server（EMS）の重大な欠陥（CVE-2026-35616）が、攻撃者により実際に悪用され、管理下の端末へ“正規更新”を装うペイロードが一斉配布されていると報じられています。配布されたスクリプトはPowerShellを媒介に、パスワードやブラウザのクッキーなど、クラウド横断で再利用されやすい機密を狙って窃取します。管理基盤の信頼を乗っ取る手口は、斬新さよりも拡散効率と検知回避が際立つ現実的な脅威で、緊急の運用判断が問われる案件です。
本稿は公開報道に基づく事実関係を整理し、管理プレーンを軸にした防御設計・検知・インシデント対応の優先順位を掘り下げます。

参考：報道（The Hacker News）によれば、当該脆弱性はEMSのAPI認証回避・特権化につながり、Fortinetは修正済みバージョンをリリース済みとされています。詳細は参考情報を参照ください。

深掘り詳細

事実関係（公開報道で確認できる範囲）

• 攻撃者はFortiClient EMSの脆弱性（CVE-2026-35616）を突き、EMS上で高権限を得て端末配布機能を悪用し、Base64エンコードされたPowerShellを押し込みます。
• 配布物は“FortiClient正規更新”を装い、端末側で認証情報・ブラウザクッキーなどを収集し、外部インフラへ送信します。
• Fortinetは修正済みバージョンを提供済みで、早急なアップデートが推奨されています。
• CVSSは非常に高い深刻度（報道ベース）で言及されています。
  出典：報道まとめ（The Hacker News）です。

Packet Pilotのインサイト（なぜ広がり、なぜ見逃すのか）

• 管理プレーンの“正当性バイパス”が鍵です
  EMSは“信頼された配布者”としてEDRやOS管理層に近い権限で動くことが多いです。ここを乗っ取られると、普段なら検知・ブロックされる処理でも「正規ジョブ」として通ってしまいます。検知の目線を“端末起点”から“管理プレーン起点”に切り替える必要があります。
• 被害評価は端末台数より“セッションの質”で見積もるべきです
  盗られるのはID/パスワードだけでなく、SaaSやIdPのクッキー／トークンです。即ち端末台数よりも、どれだけのSaaS・管理コンソール・VPN・メール・ソースコード管理にアクセス可能なセッションが吸い上げられたかが、二次侵害の爆発係数になります。
• PowerShellは“止めるか、記録するか、制限するか”の三択です
  Constrained Language Mode、AMSI統合、Script Block Logging（4104）、Module Logging（4103）、プロセス作成（4688）での親子関係監視（fortitray.exe→powershell.exe）など、運用負荷を踏まえた現実的な組合せを早急に適用すべきです。
• 緊急度は高く、対応可能性も高いが、完全封じ込めは容易ではないです
  “今すぐできる”打ち手（パッチ、外部露出遮断、PowerShell制限、ログ監視強化）は明確です。一方、盗難クッキーやリフレッシュトークンに起因するクラウド側の二次侵害封じは、組織横断の連携（IdP・SaaS・メール・開発基盤）を要し、初動だけでは完結しません。短期と中期の二段戦略が妥当です。

脅威シナリオと影響

以下は報道と一般的な運用実態に基づく仮説シナリオです。具体の環境によって前後関係は異なります。

• シナリオA：インターネット露出EMSを踏み台に全社展開

  1. 公開EMSに対する脆弱性悪用で管理者相当の権限獲得（ATT&CK: Exploit Public-Facing Application）。
  2. EMSの配布機能でPowerShellスクリプトを全端末へ投入（ATT&CK: Software Deployment Tools, Command and Scripting Interpreter: PowerShell）。
  3. ブラウザやパスワードストアから機密抽出（ATT&CK: Credentials from Password Stores / Credentials from Web Browsers）。
  4. HTTP(S)越しに外部へ送出（ATT&CK: Exfiltration Over C2 Channel / Web Protocols）。
  5. 盗難クッキーでSaaS/IdPに横展開、メール・ストレージ・リポジトリへ二次侵入（ATT&CK: Valid Accounts, Web Services）。
     影響：短時間に多数端末のセッションが吸い上げられ、オンプレからクラウドまで影響が連鎖します。

• シナリオB：医療・公共機関での業務継続影響

  1. 管理プレーン奪取により業務端末へ一斉配布。
  2. 個人情報・職員アカウント・業務SaaSのセッション窃取。
  3. アカウント乱用により予約・請求・文書管理等に不正操作、法規制対応・公表が必要に。
     影響：安全性確保のためのネットワーク遮断・クリーンアップで診療や窓口業務の一時停止に波及します。

• シナリオC：検知回避のための正規バイナリ悪用（仮説）

  1. fortitray.exe等の正規署名バイナリを親としてPowerShellを起動（ATT&CK: Signed Binary Proxy Execution）。
  2. Base64等で難読化（ATT&CK: Obfuscated/Compressed Files and Information）。
     影響：EDR閾値をすり抜けやすく、初動検知が遅延します。

これらは仮説であり、実攻撃の全容は各環境のログ・フォレンジックで確認が必要です。

セキュリティ担当者のアクション

“パッチ適用”だけで終わらせないでください。管理プレーン侵害は信頼の根を揺るがし、二次侵害の芽を残します。初動72時間と今後2週間で層を分けて対処します。

• いま直ちに（同日中）

  • EMSを最新修正版へ更新し、万一のため旧バイナリを残さないよう撤去・再起動まで完了します。
  • EMSの外部公開を即時停止します。管理ネットワーク/VPNに閉じ、アクセス元を厳格に許可リスト化します。
  • EMS上の管理者・APIキー・サービスアカウントを全て再発行し、最小権限を適用します。
  • EMSの配布/ジョブログ、監査ログを保全し、過去2～4週間の“更新ジョブ”を遡及確認します（想定外のPowerShell実行・端末台数の急増・実行者の異常時刻）。
  • 端末側で以下の高リスク挙動を即時監視します。
    • 親プロセスがFortiClient関連バイナリのpowershell.exe起動
    • PowerShellのエンコード/難読化実行、外部HTTP(S)への連続接続
    • ブラウザプロファイル・資格情報ストアへの不審アクセス
  • PowerShellをConstrained Language Modeに切替、AMSI連携とScript Block Logging（4104）、Module Logging（4103）を有効化します。可能なら一時的にPowerShell実行を制限します。

• 初動48～72時間

  • 盗難の可能性があるSaaS/IdPのセッション・リフレッシュトークンの一斉失効をIdP管理者と連携して実施します。高権限ロールは優先してパスワード再設定・MFA再登録を行います。
  • Eメール、ストレージ、リポジトリ、チケット、CI/CD、クラウド管理コンソールで、侵入の兆候（不審ログイン、ルール改変、APIキー作成、転送設定変更）を横断的に点検します。
  • 影響端末の範囲を定義し、EDR隔離→再イメージ（ゴールドイメージでの完全再構築）を優先端末から順次実行します。認証情報抽出の疑いがある端末は“信頼不可”として扱います。

• 次の2週間

  • EMS/EDR/MDMなど管理プレーンを“ゼロトラスト化”します。
    • インターネット非公開、相互TLSやデバイス証明書、境界FW/L7 WAFでの緩やかな多層防御
    • 管理者の強制MFA、時間帯・端末・場所ベースのポリシー、Break-Glassアカウントの金庫化
    • 配布パイプラインの二者承認（4-eyes）と署名付きスクリプトのみ許可（WDAC/AppLocker）
  • 監査パターンの常設化
    • “管理プレーンが端末にシェルを押し込む”イベントの定常監視、端末数×コマンド種別の異常検知
    • 端末からの“外向きPowerShell＋Web送信”の抑止・可視化
  • 演習
    • “管理ツール侵害を前提”としたレッドチーム演習を四半期に一度実施し、運用・法務・広報を含む横断対応を磨きます。

• 被害推定と公表の判断

  • 端末数ではなく“窃取され得るセッションの重要度”を軸に評価します。特定個人情報、医療情報、経営情報、開発秘密の所在SaaS/リポジトリが対象なら、速やかに規制・契約に基づく通知・公表の準備を進めます。法務・広報・保険の各窓口と並走します。

• 予防的設定（恒常）

  • EMSは“管理ネットワーク専用VLAN”に閉じ、バックアップはオフライン/イミュータブルで保持します。
  • 配布スクリプトはコード署名必須、未署名はブロックします。
  • ブラウザの企業管理テンプレートでクッキーの寿命を短縮し、SSO長期セッションを抑制します。
  • Egress制御で端末から未知ドメイン/国への直送信を段階的に封じます。

最後に、この案件は“いまパッチを当てるべき緊急案件”であると同時に、“管理プレーンをどう守るか”という設計課題を突きつけています。防御の重心をエンドポイント単体から、配布・更新・認証といった組織の“信頼の仕組み”に移すことが、再発防止の近道です。日々の運用に追われる現場こそ、この機会に信頼境界の棚卸しを進めていきたいところです。

参考情報

• 報道: Threat Actors Exploit Critical FortiClient EMS Flaw to Deploy Credential-Stealing Malware（The Hacker News）: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html

本稿は上記公開情報を基に編集部で分析したもので、技術的詳細や修正バージョンの特定は公式アドバイザリの確認を推奨します。最新の脅威状況は随時更新し、現場に役立つ形でお届けします。