Fortinet の脆弱性が大騒ぎ?あなたのパソコンは無関係…かもしれません
ここ数日、セキュリティ業界で「Fortinet」という企業のソフトウェアに、非常に危険な問題が見つかったというニュースが流れています。「CVE-2026-35616」という暗号のような番号がついています。
「え、Fortinet? 聞いたことない…」と思う方が大多数かもしれません。実は、ほとんどの個人 PC ユーザーには直接的な影響がない可能性が高いのです。ただし、あなたが勤めている企業や学校によっては、話が変わるかもしれません。
この記事では、難しい技術を避けて、「実は何が起きているのか」「あなたは何を知っておくべきか」を、分かりやすく解説します。心を込めて、できるだけ簡単に説明しますので、最後まで読んでいただければ幸いです。
まず、Fortinet って何?
Fortinet は、サイバーセキュリティ(ネット上の安全)を守る製品を作っている企業です。個人のパソコンやスマートフォンを守るわけではなく、企業や組織のネットワークを守る仕事をしています。
具体的に、Fortinet の製品には以下のようなものがあります。
- FortiGate:企業のネットワークの入り口に置いて、不正なアクセスを防ぐ機械(ファイアウォール)
- FortiClient:企業の従業員が使うパソコンやスマートフォンに入れるセキュリティソフト
- FortiClient EMS:これらの端末を一元管理するシステム(企業の IT 部門が使う)
つまり、Fortinet は企業向けの「セキュリティ会社」。あなたの個人的なパソコンに入っていることはほぼないのです。
「CVE-2026-35616」って何のこと?
今回見つかった問題は、上記の中の 「FortiClient EMS」という管理システムに存在していました。
簡単に言うと、こういうことです。
企業が従業員のパソコンを管理するためのシステムに、「鍵がかかっていない扉」が発見された。その扉から侵入した攻撃者は、その企業の従業員のパソコン全体を支配できてしまう。
企業のシステムですから、このシステムを使っているのは主に IT 企業、金融機関、政府機関、大企業などです。一般の消費者向けのサービスではありません。
「鍵がかかっていない」ってどういう意味?
では、技術的な詳しい話をしないで、比喩で説明しましょう。
皆さんの家に、「郵便物を受け取るための玄関」と「自分の部屋」があるとします。通常は、誰かが自分の部屋に入るには「玄関を通って、家の人に許可をもらう」というステップが必要です。
ところが、今回見つかったバグは、「許可をもらわずに玄関をすり抜けて、直接部屋に入られる秘密の道」のようなものです。
企業の管理システムでは:
- 通常のルート:ユーザー名とパスワードでログイン → システムの操作
- バグを使ったルート:ユーザー名もパスワードも必要なし → 直接システムを支配できる
これが非常に危険な理由は、企業の全従業員のパソコンを管理するシステムそのものが乗っ取られるからです。攻撃者は、その企業の経営資料、顧客情報、メール、機密文書など、あらゆるデータにアクセスできる可能性があります。
「既に悪用されている」って、何ですか?
さらに危機的なのが、この脆弱性が「既に攻撃者に悪用されている」ということです。
通常、脆弱性の報告フロー:
- 研究者が問題を発見
- 企業に報告
- 企業が修正パッチを作成
- ユーザーがパッチを適用
- その後、一般公開
しかし、今回は異なります。
- 研究者(Defused Cyber という企業)が問題を発見
- その発見と同じ時期に、既に攻撃者も悪用し始めていた
- 研究者が急いで Fortinet に報告
- Fortinet が急いで 4月4日(土曜日、週末)に修正パッチを公開
つまり、「知られる前に既に攻撃されている」という、非常に厳しい状況なのです。
攻撃は既に始まっている。このニュースを読んだ時点で、どこかの企業のシステムが侵害されている可能性があります。
どのくらいの企業が影響を受けているのか?
セキュリティ調査機関の Shadowserver が調べたところ、世界中に 2,000 以上の公開されている FortiClient EMS インスタンスがあるとのことです。
特に米国とドイツに集中しています。
「2,000」というと少なく聞こえるかもしれませんが、1 つのシステムで管理される従業員数は少なくて数百人、多ければ数千人。つまり、影響を受ける可能性のある人間は、数十万人規模に達する可能性があります。
対応状況は? 修正パッチはもう出ている?
Fortinet の対応は迅速でした。4月4日に「ホットフィックス」という応急的な修正パッチを公開しました。ただし、これは一時的な対応。
- 4月4日:緊急ホットフィックス公開
- 4月7日(今日):本格的な修正は FortiClient EMS 7.4.7 に予定されるも、まだ配布されていない
- 米国 CISA(国家安全保障・インフラ保護庁):4月6日に「既知の悪用される脆弱性」として登録。連邦政府機関に 4月9日までの修正を要求
言い換えると:
- 応急措置は出た
- 本修正はまだ出ていない
- 対象企業は「応急パッチを急いで当てるしかない」という状況
「影響を受けるバージョン」ってどれ?
ここは、技術に強い方向けです。
影響を受けるバージョン:
- FortiClient EMS 7.4.5
- FortiClient EMS 7.4.6
影響を受けない:
- FortiClient EMS 7.2.x
もし、あなたが勤めている企業の IT 部門に「ウチは FortiClient 使ってるのか」と聞く際は、「7.4.5 か 7.4.6 を使ってるなら、今すぐ対応が必要ですよ」と話題にしてもいいでしょう。
個人ユーザーは何をすべき?
ここが重要です。個人の PC やスマートフォンを使っているだけなら、直接的な影響はありません。
ただし、以下のケースに当てはまるなら、注意が必要です。
- 会社支給のパソコンを使っている:IT 部門に「FortiClient EMS を使ってるのか」「対応したのか」を聞いてみる
- 勤めている企業が IT 関連企業、金融機関、官公庁の場合:同様に確認を
- 学校の管理下のパソコンを使っている:学校の IT 部門に相談を
個人で購入したパソコンを個人的に使っている場合、このニュースは「へえ、そんなことがあるんだ」くらいで大丈夫です。
なぜこんなことが起きた?Fortinet は信頼できる企業か?
ここまで読んで、「Fortinet の製品、大丈夫なの?」と心配になる方もいるでしょう。
実は、ここ数ヶ月で Fortinet の製品には複数の脆弱性が発見されています。
| 時期 | 脆弱性 | 状況 |
|---|---|---|
| 2月6日 | CVE-2026-21643 | FortiClient EMS の別の脆弱性。既に悪用されていることが判明 |
| 3月末〜4月初 | CVE-2026-35616(今回) | 同じく FortiClient EMS の脆弱性。既に悪用中 |
わずか 2ヶ月で、同じ製品の 2番目の critical 脆弱性が悪用されていることがわかったのです。
これについて、セキュリティ専門家の Caitlin Condon(VulnCheck)は、こう述べています。
「Fortinet のソリューションは、一般的に脅威アクターの狙いやすいターゲットになっている。だからこそ、攻撃されることは必ずしも驚くべき事ではない」
言い方を変えると、Fortinet は人気があり、多くの企業が使っているからこそ、攻撃者のターゲットになりやすいということです。これは Fortinet が悪い企業というわけではなく、セキュリティ製業界の現実です。
ただし、継続的に脆弱性が発見されるのは、開発プロセスやテスト体制についての疑問は残ります。Fortinet も、この問題を認識していると思われます。
最後に伝えたいこと:「知識があなたを守る」
今回の Fortinet の脆弱性は、直接には個人のパソコンユーザーに影響しません。しかし、このニュースから学べることがあります。
それは「企業用のセキュリティ対策も、決して完璧ではない」ということです。
個人レベルでできることは:
- 会社支給のパソコンについて、気にかける:「セキュリティの対応、進んでますか?」と IT 部門に関心を持つ
- 個人パソコンでも、基本を忘れない:Windows Update を定期的に当てる、セキュリティソフトを最新に保つ
- 公式な情報源を確認する:不安なことがあれば、勤めている企業の IT 部門に相談する
- 「どこまで自分の責任か」を知る:個人でできることと、企業にお任せすることの線引きを理解する
サイバーセキュリティの世界は、毎日が戦いです。しかし、慌てず、正しい情報を知ること。そして、信頼できる相手に相談すること。これが、あなたを守る何よりの盾となります。
ピシコからのお願い
「我が社は Fortinet を使ってるんだけど…」「パソコンの安全について相談したい」というご質問があれば、いつでもお気軽にご連絡ください。お電話でも、ご来店でも大丈夫です。セキュリティについては、難しいことを分かりやすく説明することが、私たちの仕事だと考えています。
あなたのパソコン、そして企業の大切なデータを守るお手伝いができれば幸いです。
