AIを活用したネットワーク検知とレスポンス:2026年ガートナーのNDRのマジック・クアドラントのリーダーの1社として
ブログを読む
Vectra AI、2026年ガートナーのNDRのマジック・クアドラントにおいてリーダーの1社に
レポートを読む
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. ネットワーク・セキュリティ

FortiClient EMSZero-Day:コントロールプレーンが初期侵入経路となる場合

April 8, 2026
4/8/2026
Lucie Cardiet
サイバー脅威リサーチマネージャー
FortiClient EMSZero-Day:コントロールプレーンが初期侵入経路となる場合

CVE-2026-35616 は、zero-day 重大なzero-day として議論されていますが、最も注目すべきは脆弱性そのものではありません。

重要なのは、そのエクスプロイトがどこに適用されるか、そして成功した場合に攻撃者にどのような立場をもたらすかという点である。

FortiClient EMSは、単なるサーバーではありません。エンドポイントを統合し、設定を配布し、他のインフラストラクチャでは通常必要とされないレベルの運用上の信頼性を備えています。このシステムが侵害されると、攻撃者は単にホストへのアクセス権を得るだけにとどまりません。攻撃者は、ネットワーク全体へのアクセス権を手にすることになるのです。

以前の記事で ネットワークエッジデバイスを標的としたzero-day に関する以前の記事では、攻撃者がどのようにエッジを突破し、足場を築き、さらに内部へと侵入していくかを解説しましたこの新たなエクスプロイトは、攻撃の起点がいずれにせよその境界線の内側にある場合に何が起こるかを示しています。

この脆弱性は、 Defusedチームによって発見されました

エッジエントリからコントロールプレーンへのアクセスまで

以前のモデルでは、次のような順序を想定していた。まず周辺部からアクセス権を獲得し、その後拡大していく。

ここでは、EMSサーバーは攻撃対象となるほど十分にアクセス可能である一方で、その動作が疑われることはほとんどないほど信頼されています。この脆弱性により この脆弱性により、認証なしでの を可能にし、コードの実行につながります。つまり、侵入の初期段階において、認証情報の必要性がなく、ユーザーの行動に依存せず、盗まれたIDへの依存もないことを意味します。

これにより、攻撃経路から段階が一つ排除され、検知のタイミングがさらに後段にずれ込むことになる。

ログインの異常も、不審なアカウントも、調査の糸口となるような明らかなユーザーの行動も確認されていない。攻撃者は、すでにエンドポイントに対する権限を持ち、環境を把握しているシステムに直接侵入してくる。

EMSの仕組み: エンドポイント管理サーバー(EMS)は、すべてのエンドポイントを管理し、ポリシーを適用し、テレメトリデータを収集し、組織全体でセキュリティを徹底する中枢となる制御プラットフォームです。

同じ挙動、異なる状況

その行動自体は新しいものではない。それを隠しているのは、その背景にある状況なのだ。

攻撃者は依然として環境のマッピングを行い、認証情報を特定し、重要度の高いシステムへと侵入を試みている。違いは、それをどれほど迅速に行えるか、そしてその過程がどれほど自然に見えるかという点にある。

EMSの視点から見ると、その活動は周囲に溶け込んでいます。エンドポイントデータの取得はインベントリ調査のように見え、設定情報の読み取りは管理業務のように見え、内部接続も横方向の移動というよりは日常的な管理業務のように見えます。

ネットワークエッジデバイスが侵害されることと、EMSが侵害されることの違い。

なぜこれが発見しにくいのか

兆候はあるけれど、どう見ても関連性がないようだ。

この攻撃はAPIトラフィックとして始まり多くの場合、通常のリクエストやバックグラウンドノイズと見分けがつかない。コードの実行に至る頃には、攻撃者はすでに信頼されたシステム上で活動している。

そこから先は、わずかな逸脱があれば十分です。新しいシステムへの接続、有効ではあるが通常とは異なる認証、予想外の時間帯での活動などです。それぞれの兆候は、単独で見れば説明がつくものです。

これらのシグナルが各システムに分散しているため、検知が機能しなくなります。APIのアクティビティはアプリケーションログに、ホスト上のプロセス実行はホストのログに、ネットワーク接続は別のツールに、認証情報はID監視ツールにそれぞれ記録されます。単独のシグナルだけでは十分な強度が得られないのです。

攻撃者は隠密性を必要としない。彼らは、誰も一連の動作全体を見ていないという事実に頼っているのだ。

テレメトリ上ではどのように表示されるか

この傾向は、さまざまな分野で見られる:

  • 明確なユーザーコンテキストがないAPIの動作
  • EMSホストにおけるプロセスまたはサービスの動作の変化
  • めったに通信しないシステムへの発信接続
  • ユーザーではなくサービスに紐づけられた認証
  • 通常の範囲外のエンドポイント間のやり取り

個々に見れば、これらは微弱なシグナルに過ぎません。しかし、これらを総合すると、ID、ネットワーク、エンドポイントのアクティビティ全体において、EMSサーバーが起点となるパターンが浮かび上がります。

実際にはどういうことか

早期に特定できなければ、信頼が絡んでくるため、事態の収拾が難しくなる。

数分もあれば、攻撃者はアクセス権を安定させ、環境の状況を把握することができます。そこから、直ちに警戒を招くことなく、重要なシステムへと移動することができます。その活動が明らかに悪意のあるものであると判明する頃には、攻撃者はすでに、取り返しのつかないほどの状況とアクセス権を手にしているのです。

対応は、もはや単一のホストを隔離することだけに留まりません。そのシステムが何にアクセスしたか、何を変更した可能性があるか、そしてどの認証情報や関係性が漏洩した可能性があるかを調査する必要があります。

検知の起点となるのは、もはやエッジではありません。最初のアクセスでは、利用可能なシグナルがほとんど、あるいはまったく得られない場合があり、最初の信頼できる兆候が現れるのは、多くの場合、攻撃者が信頼されたシステムから活動を開始した後のことです。

これにより、問題の焦点が変わります。検知とは、定義された役割を持つシステムが、その役割の範囲外で動作していることを認識し、信頼関係によって攻撃が拡散する前にそれを阻止することになります。

ここで重要なのが、行動の連続性です。同一のシステムが、IDネットワークエンドポイントの各領域にわたる活動の起点となると、微弱なシグナルが首尾一貫したパターンを形成するのです。

The Vectra AI は、この課題に焦点を当て、IDとネットワーク活動にまたがる行動を関連付けることで、兆候の乏しいイベントであっても、調査や封じ込めを行うのに十分な早期段階で、一貫性のある全体像を把握できるようにします。

ご自身の環境が、この種の攻撃経路に対してどれほど脆弱であるかを把握したい場合は、 攻撃的セキュリティ評価 を実施することで、コントロールプレーンシステムがどこで悪用される可能性があるか、またその行為がどの程度の速さで検出されるかを明らかにできます。この種の攻撃において、その可視性こそが、EMSサーバーからの通知が単なるアラートに留まるか、それともインシデントが把握される瞬間となるかを決定づけるのです。

よくある質問 (FAQ)