ISSコラム

Fortinet FortiClient EMS CVE-2026-21643（CVSS 9.8：Critical）

４月の脆弱性対応で最優先に位置付けされるのが、Fortinet FortiClient EMS の CVE-2026-2163 です。

この脆弱性は SQL インジェクションに分類され、４月13日にCISAが FortiClient EMS を含む7件の悪用済み脆弱性をKEVへ追加しました。本脆弱性は、認証を必要とせず、細工されたHTTPリクエストを通じて任意コードまたはコマンド実行が可能になります。

FortiClient EMS は単なる管理用Webアプリケーションではなく、企業端末に配布されるFortiClientのポリシー、VPN、セキュリティ設定、エンドポイント状態の制御を担うため、EMSサーバが侵害されると管理対象端末の一覧、設定、通信経路、管理者操作、端末配布ポリシーと広範囲に影響を受けます。SOC Primeの解説でも、この脆弱性は特殊文字の不適切な処理に起因し、リモート攻撃者が細工したHTTPリクエストにより不正コードまたはコマンド実行へ至る可能性があると言及しています。

EMSサーバ上での通常外プロセス生成、Webサーバログ上の異常なHTTPパラメータ、管理者アカウントの追加・変更、ポリシーやパッケージ配布設定の改変、EMSから端末群へ送られた不審タスクを確認することを推奨します。PoC/Exploit availabilityについては、公開されている解説や攻撃再現に関する情報が複数出回っており、KEV掲載と実悪用確認を踏まえると、未適用環境では外部公開EMSを侵害された可能性がある対応することを推奨します。

Microsoft SharePoint Server CVE-2026-32201（CVSS 6.5：MEDIUM）

Microsoft SharePoint ServerのCVE-2026-32201 は、CVSSだけを見て優先度を下げると判断を誤るタイプの脆弱性です。Cloud Security Partners は、Microsoftが in-the-wild exploitation を確認し、CISA が4月14日にKEVへ追加したとしています。Cybleも、4月のPatch Tuesdayで公開されたSharePoint Serverの積極的に悪用中の脆弱性として取り上げ、攻撃成功時にはコラボレーション環境の侵害、機微な企業コンテンツへのアクセス、企業ネットワーク内での持続的 foothold 確立につながり得ると警鐘を鳴らしています。

SharePointは、単なるファイル共有やポータルではなく、文書、検索、ワークフロー、サービスアカウント、社内外コラボレーション、場合によっては認証・承認の業務文脈まで内包しています。攻撃者がの信頼境界を突破できれば、文書窃取だけではなく、社内の組織構造、プロジェクト名、取引先、アクセス権限、認証連携の手掛かり与えることになります。これはランサムウェア攻撃の前段にも、ビジネスメール詐欺にも、知財窃取にも利用できてしまいます。

攻撃を検知するには、IISアクセスログ、SharePoint ULSログ、認証ログ、サービスアカウントの不自然な利用、短時間での大量文書アクセス、通常とは異なるUser-Agentや送信元からのSharePoint APIアクセスを相関させる必要があります。SharePointの公開範囲が広い組織では、WAFルールだけでなく、外部公開の縮小、管理PowerShellの監査、検索インデックスやワークフローの異常操作の確認まで含めた点検が必要になります。迅速な修正と侵害痕跡の確認の両方を行ってください。

Cisco Catalyst SD-WAN Manager 複合脆弱性（CVSS 9.8：Critical）

Cisco Catalyst SD-WAN Managerについて、4月に複数の脆弱性が実運用上のリスクとして浮上しました。の日本語アドバイザリでは、CVE-2026-20129がCVSS 9.8のCriticalとして示され、加えてCVE-2026-20128ではDCAユーザーのログイン情報ファイルが存在することに起因し、攻撃者が細工したHTTP要求でDCAパスワードを含むファイルを読み取れる可能性が説明されています。CISA KEV関連の報道では、CVE-2026-20128、CVE-2026-20133、CVE-2026-20122が悪用済みとして追加され、 Catalyst SD-WAN Managerの管理面に対する実リスクが強調されています。

この脆弱性群は、CVSSだけでなく組み合わせた場合の攻撃チェーンで評価する必要があります。攻撃者は、情報漏えいにより管理資格情報や構成情報が得られ、任意ファイル上書きや権限昇格が可能になり、SD-WANの制御面へ深く侵入することが可能になります。SD-WAN Managerは拠点間通信、ポリシー、ルート、トンネル、WAN最適化を統制するため、侵害は単一デバイスではなく企業WAN全体の信頼境界に影響します。Ciscoアドバイザリは、serviceproxy-access.log上の特定パスの参照や、管理者端末以外からのDCA関連APIアクセスを確認するよう具体的なIoCを示しており、これは「パッチだけでなく侵害有無を調べる必要がある」ことを意味しています。

運用上は、SD-WAN Managerのインターネット露出を避け、管理元IPを厳格に制限し、管理UI/APIへのアクセスログを外部SIEMへ転送し、設定変更とログインの二重承認・改ざん検知を組み込むことを強く推奨します。KEV登録とCiscoの侵害痕跡の記載がある以上、未修正の環境では管理面が既に観測・試行対象になっていると考える必要があります。

Marimo CVE-2026-39987（CVSS 9.8：Critical）

MarimoはPythonノートブック/アプリケーション系の開発・分析基盤であり、大企業の標準IT管理から外れた研究・AI・分析環境でインターネットに公開されていることがあります。この種の基盤は、機械学習モデル、APIキー、クラウド資格情報、.envファイル、データセットに近接しているため、RCEが成立した際の情報価値が高くなります。

Marimoのような開発・分析基盤の脆弱性は、単なるWebアプリRCEとして扱うと過小評価になる可能性があります。攻撃者は侵入後、最初に資格情報やトークンを探す可能性が高く、それは、PC端末にクラウドAPIキー、データベース接続文字列、S3/GCS/Azure Blobのアクセス情報、実験用秘密情報が平文で残っている可能性があるからです。4月時点で本件はKEV登録されており、PoC/Exploit情報も少なくとも攻撃再現を再現できる形で流通していると見るべきです。対策は公開インスタンスの棚卸し、認証の強制、外部公開停止、秘密情報のローテーション、WebSocketやターミナル機能への異常接続監視を優先すべきです。

本コラムについて

インターネットセキュアサービス㈱（以下、ISS）が提供する脆弱性情報は、全ての脆弱性情報を対象にせず、ISSが次の基準で判断しています。

・インターネット上で悪用が確認されている脆弱性

・CVEスコアが低くても対応が必要と判断した脆弱性

・ISSが対応したインシデントの経験から危険性が高いと判断される脆弱性

なお、記載内容は全てを保証するものではありません。

ISSは、皆様のセキュリティ対策のお役に立つ情報を積極的に発信してまいります。