### CVE-2026-35616の悪用 **Arctic Wolf**によると、2026年5月に検出されたこのキャンペーンは、**CVE-2026-35616**（CVSSスコア：9.1）を悪用して**FortiClient** EMSを侵害しています。この重大な事前認証APIアクセスバイパスは、権限昇格を可能にします。**Fortinet**は、**FortiClient** EMS 7.4.7以降のバージョンでこの脆弱性に対処しました。古いバージョンを使用している組織は、直ちにアップグレードすることが強く推奨されます。 ### 攻撃チェーンの分析 攻撃が成功すると、攻撃者は設定を変更し、ファームウェアアップグレードのリマインダーを延期し、リモートアクセスプロファイル設定を変更できるようになります。これにより、エンドポイントデバイスで実行されるように設計された悪意のあるスクリプトを注入することが可能になります。攻撃者は、正規の管理操作を模倣して、**FortiClient**自身の管理パスウェイを効果的に悪用し、悪意のある**PowerShell**コマンドをプッシュします。  ### 偽装されたマルウェア：FortiEndpoint_Patch.exe この攻撃は、正規の**FortiClient**実行可能ファイルである「fortitray.exe」を悪用し、「cmd.exe」を介して.cmdスクリプトを起動します。このスクリプトは、悪意のあるペイロードをダウンロードして実行し、盗まれたデータをHTTP POSTリクエストを介して「83.138.53[.]110」に流出させる、Base64エンコードされた**PowerShell**スクリプトを実行します。 「FortiEndpoint_Patch.exe」と名付けられたペイロードは、これまで文書化されていなかったWindows情報窃盗ツールです。ChromiumベースおよびGeckoベースのブラウザから、パスワード、Cookie、自動入力データ（クレジットカード情報、住所、電話番号）などの機密データを収集し、ProgramDataディレクトリのログファイルに保存します。その後、**PowerShell**スクリプトはこのデータを攻撃者が制御するインフラストラクチャに送信します。 ### 影響と緩和策 **Arctic Wolf**は、API認証をバイパスすることで、攻撃者は管理設定を変更し、管理対象のエンドポイントで悪意のあるスクリプトを実行できると強調しています。盗まれたセッションCookieや保存されたブラウザ認証情報は、攻撃者にクラウドサービス、内部アプリケーション、その他の認証済みリソースへのアクセスを許可し、多要素認証（MFA）をバイパスする可能性があります。 組織は以下を行うことを推奨します。 * **FortiClient** EMSを直ちにバージョン7.4.7以降に更新してください。 * 不審なアクティビティについて**FortiClient** EMSのログを監視してください。 * 強力なアクセス制御を実装し、設定を定期的にレビューしてください。 * 予期しない、または要求されていないソフトウェアアップデートを実行するリスクについてユーザーを教育してください。