米国のCISAとシンガポールのCSAは2026年4月6日、FortinetのFortiClient EMSに存在する重大脆弱性 CVE-2026-35616 について相次いで警告を出しました。CISAはこの脆弱性を Known Exploited Vulnerabilities Catalog に追加し、すでに悪用の証拠がある脆弱性として扱っています。
何が問題なのか
CVE-2026-35616 は、FortiClient EMS の API 認証と認可をバイパスできる improper access control の脆弱性です。
シンガポールCSAは、攻撃に成功した場合、未認証の攻撃者が認可されていないコードやコマンドを実行でき、FortiClient EMS サーバーが全面的に侵害される可能性があると説明しています。NVDでも、影響内容は crafted requests を通じた unauthorized code or commands の実行と記載されています。
FortiClient EMS はエンドポイント管理側の基盤であるため、単一サーバーの脆弱性であっても運用上の影響は大きくなります。管理プレーンに近い製品で未認証からのコード実行リスクがある以上、一般的な業務アプリの脆弱性よりも優先度を高く見積もる必要があります。
影響を受けるバージョン
Fortinet の advisory でも、脆弱な対象は 7.4.5 と 7.4.6 で、これらに対して hotfix の適用を強く推奨しています。
対策
まず FortiClient EMS 7.4.5 または 7.4.6 を使っている場合は、Fortinet が案内する hotfix を直ちに適用することです。Fortinet は、この hotfix が当面の完全な対処になると案内しており、将来的な恒久対応は 7.4.7 に含まれる見込みとされています。








