B
今週中
FortiClient EMSの重大な脆弱性(CVE-2026-35616)を悪用し、管理下のエンドポイントにEKZ Infostealerを配布する攻撃
📌 一言でいうと
FortiClient EMSの重大な脆弱性(CVE-2026-35616)を悪用し、管理下のエンドポイントにEKZ Infostealerを配布する攻撃が確認されました。攻撃者は正規のアップデートファイルに偽装して悪意のあるPowerShellスクリプトを実行させ、ブラウザから認証情報やCookieを窃取します。これにより、多要素認証(MFA)を回避してクラウドサービスや内部リソースへ不正アクセスされるリスクがあります。
🔍該当判定
- Fortinet社の管理プラットフォーム「FortiClient EMS」を導入して利用している
- 社内のPCや端末を「FortiClient EMS」で一括管理している
- 最近、FortiClient EMS経由で「更新プログラム(修補程式)」の通知が届き、それを実行した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
速やかにFortiClient EMSを最新バージョンにアップデートし、CVE-2026-35616の修正パッチを適用してください。また、不審なPowerShellプロセスの実行や、管理コンソールからの予期しないアップデート配信がないかログを確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】FortiClient EMS CVE-2026-35616 対応について
お疲れさまです。FortiClient EMSの脆弱性を悪用した攻撃に関する情報共有です。
■ 概要
FortiClient EMSの重大な脆弱性(CVE-2026-35616)を悪用し、管理下の端末に「EKZ Infostealer」という窃資ソフトを配布するキャンペーンが観測されています。攻撃者は管理機能を悪用して偽のアップデートファイルを配信し、PowerShell経由でブラウザの認証情報やCookieを窃取します。
■ 影響範囲
- 対象製品: FortiClient EMS
- 脆弱性: CVE-2026-35616
■ 対応手順
1. FortiClient EMSを最新バージョンへアップデートし、修正パッチを適用してください。
2. 管理コンソールから意図しないアップデートやスクリプトが配信されていないか確認してください。
3. エンドポイントにおける不審なPowerShell実行ログを調査してください。
■ 参考情報
- Fortinet公式アドバイザリ
対応優先度: 高
対応期限: 至急
お疲れさまです。FortiClient EMSの脆弱性を悪用した攻撃に関する情報共有です。
■ 概要
FortiClient EMSの重大な脆弱性(CVE-2026-35616)を悪用し、管理下の端末に「EKZ Infostealer」という窃資ソフトを配布するキャンペーンが観測されています。攻撃者は管理機能を悪用して偽のアップデートファイルを配信し、PowerShell経由でブラウザの認証情報やCookieを窃取します。
■ 影響範囲
- 対象製品: FortiClient EMS
- 脆弱性: CVE-2026-35616
■ 対応手順
1. FortiClient EMSを最新バージョンへアップデートし、修正パッチを適用してください。
2. 管理コンソールから意図しないアップデートやスクリプトが配信されていないか確認してください。
3. エンドポイントにおける不審なPowerShell実行ログを調査してください。
■ 参考情報
- Fortinet公式アドバイザリ
対応優先度: 高
対応期限: 至急
Subject: [Urgent] FortiClient EMS CVE-2026-35616 Remediation
Dear Team,
We are sharing critical information regarding an active campaign targeting FortiClient EMS.
■ Overview
Attackers are exploiting CVE-2026-35616 in FortiClient EMS to deploy "EKZ Infostealer" to managed endpoints. By abusing the management mechanism, they push malicious PowerShell scripts disguised as legitimate Fortinet updates to steal browser credentials and session cookies, potentially bypassing MFA.
■ Scope
- Product: FortiClient EMS
- Vulnerability: CVE-2026-35616
■ Action Plan
1. Immediately update FortiClient EMS to the latest version to patch CVE-2026-35616.
2. Audit the management console for any unauthorized update deployments or scripts.
3. Monitor endpoint logs for suspicious PowerShell activity.
■ Reference
- Fortinet Official Advisory
Priority: High
Deadline: Immediate
Dear Team,
We are sharing critical information regarding an active campaign targeting FortiClient EMS.
■ Overview
Attackers are exploiting CVE-2026-35616 in FortiClient EMS to deploy "EKZ Infostealer" to managed endpoints. By abusing the management mechanism, they push malicious PowerShell scripts disguised as legitimate Fortinet updates to steal browser credentials and session cookies, potentially bypassing MFA.
■ Scope
- Product: FortiClient EMS
- Vulnerability: CVE-2026-35616
■ Action Plan
1. Immediately update FortiClient EMS to the latest version to patch CVE-2026-35616.
2. Audit the management console for any unauthorized update deployments or scripts.
3. Monitor endpoint logs for suspicious PowerShell activity.
■ Reference
- Fortinet Official Advisory
Priority: High
Deadline: Immediate