FortinetのFortiSandboxにVNCサーバーの認証なし公開の脆弱性(CVE-2026-59835)

セキュリティニュース

投稿日時: 更新日時:

FortinetのFortiSandboxにVNCサーバーの認証なし公開の脆弱性(CVE-2026-59835)

Fortinetは2026年7月14日、マルウェア検体の検知・解析に使用するFortiSandboxにおいて、未認証の攻撃者がマルウェア解析用の仮想マシン(VM)上で稼働するVNC(Virtual Network Computing)サーバーへアクセスできてしまう脆弱性を公表しました。サンドボックス製品の内部で悪性ファイルを安全に検体解析するはずの隔離環境そのものが、外部から覗き見・操作されうる状態にあったことになります。当サイトでも継続して報じてきた通り、FortiSandboxを巡っては2026年に入り複数の重大な脆弱性が相次いで公表されており、今回もその一つに数えられます。

サマリー

  • Fortinetは2026年7月14日、FortiSandboxにおける脆弱性CVE-2026-59835(アドバイザリID:FG-IR-26-145)を公表した。CWE-668(不適切な領域へのリソース露出)に分類され、CVSSv3スコアは7.7(高)
  • 原因は、マルウェア検体を安全に起動・解析するための内部スキャン用インフラと、ネットワークに面したコンポーネントとの分離が不十分だったこと。細工されたネットワークリクエストにより、有効な認証情報や認証済みセッションを一切持たない攻撃者が、スキャン用VM上のVNCサーバーへ到達できてしまう
  • VNCはリモートデスクトップ形式のアクセスを提供する仕組みであり、この露出により攻撃者が解析中のサンドボックス環境を観察したり、操作したりできる可能性がある。攻撃条件はネットワーク経由・低い複雑さ・ユーザー操作不要・権限不要とされている
  • 影響を受けるのはFortiSandbox 5.0.0〜5.0.2(修正版は5.0.3以降)およびFortiSandbox 4.4.3〜4.4.8(修正版は4.4.9以降)。ハードウェアアプライアンスのFSA-500GおよびFSA-1500Gも対象に含まれる。FortiSandbox 5.2系、およびクラウドホスト型のFortiSandbox-as-a-Service(PaaS)は影響を受けない
  • この脆弱性は、責任ある開示のプロセスに基づきセキュリティチームINPSから報告された
  • 今回の脆弱性の公表は、Fortinetが同日にFortiOS・FortiProxy・FortiPAM・FortiSandboxにまたがる計7件の脆弱性を修正した一連のアドバイザリの一部としても行われている
項目 内容
公表日 2026年7月14日
脆弱性ID CVE-2026-59835(アドバイザリID:FG-IR-26-145)
CVSSスコア 7.7(High)
脆弱性の分類 CWE-668(Exposure of Resource to Wrong Sphere)
悪用条件 ネットワーク経由・未認証・低い攻撃複雑さ・権限不要・ユーザー操作不要
影響を受けるバージョン FortiSandbox 5.0.0〜5.0.2、FortiSandbox 4.4.3〜4.4.8
修正版 5.0.3以降、4.4.9以降
影響を受けるハードウェア FSA-500G、FSA-1500G
影響を受けないもの FortiSandbox 5.2系、FortiSandbox-as-a-Service(PaaS)
発見者 セキュリティチームINPS(責任ある開示)

何が起きたか

FortiSandboxは、疑わしいファイルを隔離された環境内で実際に実行(起爆)し、その挙動を観察することでマルウェアかどうかを判定する、サンドボックス機能の中核を担う仮想マシンを利用しています。Fortinetのアドバイザリによれば、今回の脆弱性は、細工したネットワークリクエストによって、これらの検体解析用VM上で稼働しているVNCサーバーが、有効な認証情報やアプライアンスとの認証済みセッションを一切持たない攻撃者に対して露出してしまうというものです。原因は、マルウェアの安全な検体解析を担う内部のスキャン用インフラと、ネットワークに面した外部到達可能なコンポーネントとの間の分離が不十分だったことにあるとされています。

VNCはリモートデスクトップ形式のアクセスを提供する仕組みであるため、この露出が悪用された場合、攻撃者は解析処理が行われている最中のサンドボックス環境を観察したり、対話的に操作したりできてしまう可能性があります。Fortinetは具体的な概念実証(PoC)の詳細までは明らかにしていませんが、根本的な問題としては、サンドボックスの内部スキャンサブシステムと外部から到達可能なインターフェースとの間のネットワークセグメンテーションが不十分だったことを示していると分析されています。サンドボックス環境は本質的に信頼できない悪意あるペイロードを処理する性質上、この種の隔離境界の破綻は通常以上に大きなリスクをもたらします。VNCサービスへ到達した攻撃者は、脅威解析の結果に干渉したり、そこを足がかりに他の内部資産へ侵入を広げたりする恐れがあります。

対象バージョンと対応

今回の脆弱性は、FortiSandbox 5.0系の5.0.0から5.0.2、および4.4系の4.4.3から4.4.8に影響します。

修正版はそれぞれ5.0.3以降、4.4.9以降で提供されています。

ハードウェアアプライアンスとしてはFSA-500GとFSA-1500Gの2機種が対象に含まれることが確認されています。

一方、FortiSandbox 5.2系は影響を受けず、クラウドホスト型で提供されるFortiSandbox-as-a-Service(PaaS)の利用者についても対応は不要とされています。Fortinetは、脆弱なバージョンを稼働させている組織に対し、速やかに修正版へ移行するよう推奨しています。

FortiSandboxを巡る一連の脆弱性

当サイトで既報の通り、FortiSandboxを巡っては2026年に入り複数の重大な脆弱性が相次いで公表されています。2026年4月には、FortiSandbox JRPC APIのパストラバーサルに起因する認証回避(CVE-2026-39813)と、API経由のOSコマンドインジェクション(CVE-2026-39808)という2件のCritical脆弱性が公表され、その後これらは他のFortiSandbox脆弱性とあわせて実際にサイバー攻撃へ悪用されていることが確認されました。特に注目すべきは、2026年6月に公表されたCVE-2026-25089(CVSS 9.1)です。この脆弱性は、FortiSandboxのWebベース管理インターフェースにおけるOSコマンドインジェクションで、GUIの「start VNC」機能に対して細工されたJSON入力を送ることで、セカンドオーダー(二次的)のコマンドインジェクションを引き起こせるというものでした。

今回のCVE-2026-59835は、このCVE-2026-25089と同様にVNC機能に関連する脆弱性である点で軌を一にしています。

前者がVNCを起動する機能そのものへの入力検証不備を悪用した攻撃だったのに対し、今回の脆弱性はVNCサーバー自体がネットワーク上に無防備な状態で露出してしまうという、より直接的な認証の欠如に起因する問題です。同一製品の同一機能(VNC)を巡って、性質の異なる脆弱性が短期間のうちに繰り返し発見されている状況は、FortiSandboxにおけるVNC関連の実装が、継続的な精査を要する領域であることを示しています。

情報システム部門への示唆

サンドボックス製品は、その性質上、悪意あるファイルを意図的に実行・解析するために存在するコンポーネントであり、その隔離境界(アイソレーション)の堅牢性こそが製品の信頼性の根幹をなします。今回のように、隔離されているはずの検体解析用VMへ外部から未認証でアクセスできてしまう脆弱性は、サンドボックス製品にとって本質的な設計目的を損なう重大な問題です。

自組織でFortiSandboxを運用している場合は、まず稼働中のファームウェアバージョンが今回の対象範囲に該当するかを確認し、該当する場合は速やかに修正版へアップグレードしてください。特に、インターネットに直接公開された構成や、複数のテナントで共有するサンドボックス構成を運用している場合は、優先的に対応することをお勧めします。あわせて、サンドボックスVMのサブネット周辺にファイアウォールによる厳格な分離を設ける多層防御策も、恒久的な対応として有効です。修正版への移行が完了するまでの間は、VNCの標準ポートである5900番ポートおよびその近傍のポート範囲に対する不審な接続の試みがないか、ファイアウォール・侵入検知システムのログを重点的に監査することをお勧めします。当サイトで以前紹介したFortiSandboxの過去の脆弱性が実際に悪用された経緯も踏まえると、Fortinet製品の脆弱性は公表後速やかに攻撃者側の分析・武器化が進む傾向があるため、パッチ適用を通常のメンテナンスサイクルまで先送りしないことが重要です。

 

出典