世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

2026-06-05

FortiClient EMSの重大欠陥が悪用され、credential stealerをばらまいた話

この記事のキーポイント

Fortinetの FortiClient EMS にあった重大な脆弱性 CVE-2026-35616 が、すでに攻撃に悪用されていた
攻撃者は正規の管理機能を乗っ取り、「Fortinetの更新」に見せかけた malware を端末へ配布していた
配布されたのは EKZ Infostealer と呼ばれる credential stealer（認証情報を盗む malware）
盗まれるのは password だけでなく、browser の cookie や autofill 情報まで含まれる
一度 EMS を押さえられると、管理対象の全 endpoint が一気に危険になる のがかなり厄介

何が起きたのか

The Hacker News が伝えているのは、Fortinet の FortiClient Endpoint Management Server（EMS） にあった重大な flaw が、攻撃者に悪用されていたという話です。
この脆弱性は CVE-2026-35616 とされ、CVSS score は 9.1。かなり重い部類です。

ざっくり言うと、FortiClient EMS は企業が配布・管理している endpoint（PC やノートPCなど）をまとめて管理するための仕組みです。
ここがやられると、攻撃者は「1台ずつPCに侵入する」のではなく、管理システムからまとめて悪意ある操作を流し込める。これが本当に怖いところです。正規の管理ツールが悪用されるので、見た目もかなり自然なんですよね。

攻撃の流れがいやらしい

今回の攻撃は、単に malware を置いただけではありません。かなり手が込んでいます。

Arctic Wolf によると、攻撃者は以下のような手順を踏んでいました。

FortiClient EMS の脆弱性 CVE-2026-35616 を悪用して侵入
firmware upgrade の reminder を遅らせるよう設定を変更
Remote Access Profile や endpoint policy を書き換え
malicious script を endpoint で実行するよう仕込む

ここで面白いのは、攻撃者が FortiClient の本来の管理経路 を使っていることです。
つまり、外から無理やり叩き込むのではなく、「普通の運用っぽく見える経路」で悪性コードを流す わけです。これは防御側から見るとかなり厄介だと思います。ログ上も「いつもの管理作業」に見えてしまう可能性があるからです。

使われた手口：正規ファイルを使って PowerShell を実行

攻撃では fortitray.exe という FortiClient 関連の正規実行ファイルも利用されました。
これが .cmd ファイルを cmd.exe で起動し、その .cmd がさらに Base64 encoded PowerShell script を呼び出す、という流れです。

Base64 というのは、データを文字列として見せるための表現の一種です。
悪用されると、ぱっと見では何を実行しているのか分かりにくくなります。要するに、見た目をぼかすためのカモフラージュ ですね。

その PowerShell script がやっているのは、

malicious payload をダウンロード
実行
収集した結果を attacker-controlled infrastructure に送信

という流れです。送信先として記事では 83.138.53[.]110 が挙げられています。

何を盗む malware なのか

配布された実行ファイルは FortiEndpoint_Patch.exe という名前で、Fortinet の更新っぽく見せかけています。
でも実態は、これまで未報告だった Windows 向けの information stealer です。

盗まれる情報はかなり広いです。

password
browser cookies
autofill 情報
- credit card information
- addresses
- phone numbers

対象は Chromium-based browser と Gecko-based browser。
Chrome 系だけでなく、Firefox 系も含むということです。

個人的には、ここがいちばん嫌なポイントだと思います。
password だけでなく cookie まで盗まれると、MFA を通過した後の session を再利用される可能性があります。つまり、「password を変えたから安心」とは限らない。攻撃者が すでにログイン済みの状態 を持ち逃げすることがあるからです。

しかも、この stealer 自体は通信しない

少しおもしろいのは、この stealer 自体には ネットワーク経由の exfiltration 機能がない とされている点です。
情報を外へ送るのは malware 本体ではなく、PowerShell script 側 です。

これは設計として分業されている感じで、攻撃の役割を分けているのだと思います。
本体は情報収集に集中し、送信は別スクリプトが担当する。こういう分離は、分析を少し面倒にします。攻撃者としては、わりと賢い作りです。

なぜこれが重要なのか

この事件の本質は、単なる「脆弱性が見つかった」ではありません。
管理基盤そのものが攻撃に使われた ことです。

普通は、各 endpoint に個別侵入されると「1台ずつ守ればいい」と考えがちです。
でも管理サーバーがやられると、状況は一変します。攻撃者は 1か所の突破で、多数の端末に同時配布 できてしまう。
これ、運用担当者からすると本当に悪夢に近いです。

しかも、盗まれた cookie や saved credentials は、クラウドサービス、社内アプリ、他の認証済みリソースへの足がかりになります。
記事でも、session reuse によって MFA の確認を回避できる場合がある と指摘されています。
MFA は強い防御ですが、セッションごと持っていかれると話が変わる。ここは誤解されやすいところなので注意したいです。

防御側が意識すべきこと

記事そのものは被害の詳細紹介が中心ですが、読み手としては次の点を強く意識したいところです。

FortiClient EMS を使っているなら、修正版の適用状況を確認する
管理設定の変更履歴を見て、不自然な policy 変更がないか確認する
endpoint 上で PowerShell や .cmd の不審な実行がないか見る
browser cookies や saved credentials の漏えい前提で、セッションの失効 や再認証を検討する
管理サーバーを「便利なだけの装置」ではなく、最重要資産 として扱う

特に、「端末のEDRだけ見ていれば大丈夫」とは言い切れないのが嫌なところです。
管理面が破られると、endpoint 側の監視だけでは追いつかないことがあります。ここは防御設計の盲点になりやすいと思います。

まとめ

今回の件は、FortiClient EMS の重大 flaw が、credential stealer の配布に悪用されたという話でした。
しかも攻撃者は、正規の管理経路や実行ファイルを使って、あたかも普通の更新作業のように見せかけています。

こういう攻撃は、派手な ransomware とは違って地味に見えるかもしれません。
でも実際には、password、cookie、autofill を静かに抜かれる方が、後々じわじわ効いてくることが多いです。
個人的には、今回の件は「endpoint の防御」だけでなく「管理基盤の防御」がいかに重要かを、かなり分かりやすく突きつけた事例だと思います。