Fortinetは2026年5月12日、FortiSandbox、FortiAP、FortiAP-U、FortiAP-W2、FortiOS、FortiAnalyzer、FortiManagerに関する複数のPSIRTアドバイザリを公開しました。
今回最も優先して確認すべきなのは、FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSに影響するCVE-2026-26083です。Fortinet公式アドバイザリでは、深刻度はCritical、CVSS v3スコアは9.1、攻撃タイプは未認証、影響は不正なコードまたはコマンドの実行とされています。既知の悪用は確認されていないとされています。
目次
FortiSandboxのCVE-2026-26083は未認証で悪用可能
CVE-2026-26083は、FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSのWeb UIに存在する認可不備の脆弱性です。Fortinetは、HTTPリクエストを通じて未認証の攻撃者が不正なコードまたはコマンドを実行できる可能性があると説明しています。
影響を受けるバージョンは、FortiSandbox 5.0.0から5.0.1、FortiSandbox 4.4.0から4.4.8、FortiSandbox Cloud 24および23の全バージョン、FortiSandbox Cloud 5.0.2から5.0.5、複数のFortiSandbox PaaS旧バージョンです。Fortinetは、FortiSandbox 5.0系は5.0.2以降、4.4系は4.4.9以降、FortiSandbox Cloud 5.0系は5.0.6以降、PaaSの該当バージョンは修正版への移行またはアップグレードを案内しています。
FortiSandboxは、疑わしいファイルやURLを解析するために使われるセキュリティ基盤です。この種の製品が侵害されると、単一サーバーの問題にとどまらず、マルウェア解析、メールセキュリティ、SOC運用、インシデント調査の信頼性にも影響します。特に管理画面が社内外から広く到達可能な構成では、優先度を上げて対応すべきです。
FortiOSのCAPWAPデーモンにもHigh脆弱性
CVE-2025-53844は、FortiOSのCAPWAPデーモンに存在するOut-of-Bounds Write脆弱性です。Fortinetは、認証済みのFortiAP、FortiExtender、FortiSwitchを制御する攻撃者が、FortiGateデバイス上で実行権限を得られる可能性があると説明しています。公式アドバイザリでは深刻度はHigh、CVSS v3スコアは8.3です。
影響を受けるのは、FortiOS 7.6.0から7.6.3、7.4.0から7.4.8、7.2.0から7.2.11です。修正版は、FortiOS 7.6.4以降、7.4.9以降、7.2.12以降です。Fortinetは回避策としてCAPWAPデーモンの無効化も示していますが、無線コントローラー機能やFortiExtender等の運用に影響する可能性があるため、適用前に構成確認が必要です。
この脆弱性は未認証でインターネットから直接悪用されるタイプではありませんが、無線APや関連機器が侵害された場合、FortiGate側へ影響が及ぶ可能性があります。拠点ネットワークでFortiGateが無線APやスイッチの管理点になっている場合、内部ネットワーク側の攻撃経路として評価する必要があります。
FortiAP系ではCLI経由のコマンドインジェクションを修正
Fortinetは、FortiAP系製品に関する2件のOSコマンドインジェクション脆弱性も公開しています。CVE-2025-53680は、FortiAP、FortiAP-U、FortiAP-W2のCLIにおけるOSコマンド処理の不備で、認証済みの特権攻撃者が細工したCLIリクエストを通じて不正なコードまたはコマンドを実行できる可能性があります。深刻度はMedium、CVSS v3スコアは6.1です。
CVE-2025-53870も、FortiAPおよびFortiAP-W2のCLIにおけるOSコマンドインジェクション脆弱性です。Fortinetは、認証済み攻撃者が特別に細工したCLIコマンドを通じて不正なコードまたはコマンドを実行できる可能性があると説明しており、深刻度はMedium、CVSS v3スコアは6.5です。(FortiGuard Labs)
これらは認証済みの攻撃者を前提とする脆弱性ですが、APの管理者権限やCLIアクセスが広く許可されている環境では注意が必要です。無線APは拠点ごとに多数配置されるため、資産管理やバージョン管理が甘くなりやすく、古いファームウェアが残りやすい領域です。
FortiAnalyzerとFortiManagerではAPI経由のDoSリスク
CVE-2025-67604は、FortiAnalyzerおよびFortiManagerのAPIに存在する危険な関数利用に関する脆弱性です。Fortinetは、認証済み攻撃者が複数の特別に細工したHTTPリクエストを送信することで、クラッシュを引き起こしシステムハングにつながる可能性があると説明しています。深刻度はMedium、CVSS v3スコアは5.2です。
影響を受けるのは、FortiAnalyzer 7.6.0から7.6.4、FortiAnalyzer 7.4.0から7.4.8、FortiAnalyzer 7.2の全バージョン、FortiManager 7.6.0から7.6.4、FortiManager 7.4.0から7.4.8、FortiManager 7.2の全バージョンです。Fortinetは、FortiAnalyzerおよびFortiManager 7.6系は7.6.5以降、7.4系は7.4.9以降へのアップグレード、7.2系は修正版への移行を案内しています。
FortiAnalyzerとFortiManagerは、ログ分析や集中管理に関わる製品です。DoSの影響で可用性が損なわれると、機器管理、設定変更、ログ分析、監査、インシデント対応に影響が出る可能性があります。攻撃そのものがMediumであっても、SOCや運用監視の中核に置いている環境では影響を大きく見積もるべきです。
情報システム部門が優先して確認すべきこと
まず確認すべきなのは、FortiSandboxの利用有無とWeb UIの到達範囲です。CVE-2026-26083は未認証で悪用可能なCritical脆弱性であり、Web UIが広いネットワークから到達できる構成では早急な対応が必要です。管理画面をインターネットへ公開している場合は、パッチ適用だけでなく、アクセス元制限、VPN経由化、多要素認証、管理ネットワーク分離を確認すべきです。
次に、FortiOSを利用しているFortiGate環境では、無線コントローラー機能、FortiAP、FortiExtender、FortiSwitchとの連携状況を確認します。CAPWAPを利用していない環境では、Fortinetが示す回避策の適用余地がありますが、無線APや拠点機器の管理に使っている場合は、業務影響を確認したうえで修正版への更新を優先する必要があります。
FortiAP系については、CLIアクセス可能な管理者アカウントを棚卸しし、不要な管理者権限を削除すべきです。認証済み攻撃者を前提とする脆弱性では、パスワード使い回し、退職者アカウント、委託先アカウント、共通管理アカウントが侵害の起点になります。ファームウェア更新とあわせて、管理者アカウントの最小化が必要です。
パッチ適用時に確認したい運用上の注意点
Fortinet製品は、ファイアウォール、無線、ログ分析、管理基盤など、ネットワーク運用の中核に配置されることが多い製品です。そのため、パッチ適用では単に最新版へ上げるだけでなく、冗長構成、管理対象機器、互換性、設定バックアップ、切り戻し手順を確認する必要があります。
FortinetはFortiOSのCVE-2025-53844について、推奨アップグレードパスの利用も案内しています。FortiGateのような境界機器では、バージョンを飛ばした更新によって設定や機能の互換性に影響が出る可能性があるため、保守ベンダーと連携し、対象機器ごとに更新経路を確認することが重要です。
アップデート後は、バージョンが修正版に到達していること、管理画面やAPIが想定外のネットワークへ公開されていないこと、不要な管理者アカウントが残っていないこと、ログ取得が継続していることを確認します。FortiAnalyzerやFortiManagerを利用している場合は、更新作業後にログ収集や管理対象機器との通信が正常に戻っているかも確認すべきです。
既知の悪用なしでも放置すべきではない理由
Fortinet公式アドバイザリでは、今回確認した5件のいずれもKnown ExploitedはNoとされています。これは公表時点で既知の悪用が確認されていないという意味であり、今後悪用されないことを保証するものではありません。
特にFortinet製品は、企業ネットワークの境界や管理基盤に配置されることが多く、脆弱性公表後に攻撃者がスキャンやリバースエンジニアリングを行う対象になりやすい製品群です。CriticalやHighの脆弱性については、通常の月次メンテナンスにまとめるのではなく、外部公開範囲と業務影響を踏まえて優先対応する必要があります。
出典
Fortinet PSIRT FG-IR-26-136 CVE-2026-26083 Incorrect global authorization
Fortinet PSIRT FG-IR-26-123 CVE-2025-53844 Out-of-bounds access in CAPWAP daemon
Fortinet PSIRT FG-IR-26-131 CVE-2025-53680 Command injection in CLI
Fortinet PSIRT FG-IR-26-133 CVE-2025-53870 OS command injection in CLI
Fortinet PSIRT FG-IR-26-137 CVE-2025-67604 DoS due to unsafe function in signal handler







を狙うサイバー攻撃が国内でも発生-JPCERT-200x200.png)
