トップ/記事一覧/マルウェアを見張る防御装置Fortinet FortiSandboxに無認証で乗っ取りの脆弱性4件 CVE-2026-39808ほか、一部は悪用確認で即更新を
fortinet-fortisandbox-cve-cover-ja

マルウェアを見張る防御装置Fortinet FortiSandboxに無認証で乗っ取りの脆弱性4件 CVE-2026-39808ほか、一部は悪用確認で即更新を

企業のマルウェア対策を担う防御装置Fortinet FortiSandboxに、ログイン不要でサーバーを乗っ取れる危険度9.8の脆弱性が4件も見つかりました。うちCVE-2026-39808は実証コードが公開され悪用の証拠も確認、別の1件も実際の攻撃が観測されています。守るための装置が侵入口になる恐れがあり、運用組織は最新の修正版へ今すぐ更新してください。

ニュース2026年7月8日公開 本日更新
目次
この記事のポイント

企業のマルウェア対策を担う防御装置Fortinet FortiSandboxに、ログイン不要でサーバーを乗っ取れる危険度9.8の脆弱性が4件も見つかりました。うちCVE-2026-39808は実証コードが公開され悪用の証拠も確認、別の1件も実際の攻撃が観測されています。守るための装置が侵入口になる恐れがあり、運用組織は最新の修正版へ今すぐ更新してください。

企業のネットワークに届く不審なファイルを調べてマルウェア(悪意あるソフト)を見つけ出す専用機器、Fortinetの「FortiSandbox」に、ログインなしで外部からサーバーを乗っ取れる脆弱性が相次いで見つかりました。危険度はいずれも10点満点で9.8と最高に近く、そのうち少なくとも2件はすでに実際の攻撃が観測されています。守るための機器そのものが、侵入の入口になりかねない事態です。

対象となる脆弱性は、CVE-2026-39808CVE-2026-39813CVE-2026-26083CVE-2026-25089の4件で、いずれもログイン不要でコマンドを実行できるものです。Fortinetはそれぞれ修正版を公開しており、FortiSandboxを運用する組織は今すぐ更新してください。

4件の脆弱性の概要

CVE番号種類危険度ログイン状態
CVE-2026-39808命令の注入9.8不要悪用の証拠・PoC公開
CVE-2026-39813経路をたどる
(パストラバーサル)
9.8不要悪用を観測
CVE-2026-26083認可の欠如9.8不要悪用報告なし
CVE-2026-25089命令の注入9.8不要実証コードは粗く
動作は未確認

※「危険度」は脆弱性の深刻さを10点満点で表す国際的な指標CVSSの値です。4件とも「ログイン不要・遠隔から・完全に支配できる」条件がそろい、最高に近い9.8が付いています。

誰が狙い、どんな被害になるのか

狙ってくるのは、企業の防御の要である機器を乗っ取り、内部への侵入の足場にする攻撃者です。FortiSandboxは、届いたファイルが安全かどうかを判定して組織を守る役割を担っています。その判定機能そのものを乗っ取れば、攻撃者は自分たちのマルウェアを「安全」と偽らせて防御をすり抜けさせることも、そこを拠点に社内の別のシステムへ侵入することもできます。守りの中心を奪うため、攻撃者にとって価値が高い標的です。

攻撃者がすることは、ログインせずに細工したWeb通信を送りつけ、装置の上で自分の命令を実行することです。今回の4件は、いずれもこの「無認証でのコマンド実行」につながります。一度命令が通れば、装置を完全に支配し、追加のプログラムを送り込んで居座れます。

被害を受けるのは、まずFortiSandboxを運用する企業・官公庁です。マルウェア対策の目をふさがれ、気づかないうちに社内へ侵入され、機密情報の窃取や身代金要求型ウイルス(ランサムウェア)の展開へと発展する恐れがあります。そして最終的には、その組織を信頼して情報を預けている取引先や利用者にも影響が及びます。防御用の装置が破られると、その内側にあるものすべてが危険にさらされます。

FortiSandboxとは何か

FortiSandboxは、ネットワークセキュリティ大手Fortinetが提供する「サンドボックス」型のマルウェア解析装置です。サンドボックスとは、受け取ったファイルを隔離された安全な環境で実際に動かしてみて、怪しい動きをしないかを観察する仕組みのこと。メールの添付ファイルやダウンロードファイルを本番環境に届ける前に検査し、未知のマルウェアをあぶり出す、企業の防御網の一角を担う機器です。

FortinetはFortiGate(ファイアウォール)などで国内の企業・官公庁にも広く使われており、FortiSandboxはそれらと連携して動きます。こうした防御の中枢を担う機器は、ネットワークの境界に置かれて外部と接することが多く、脆弱性が見つかると狙われやすい立場にあります。Fortinet製品はこれまでも重大な脆弱性が実際の攻撃に悪用されてきた経緯があり、実際に攻撃されている脆弱性は米政府CISAの実際に攻撃された脆弱性リスト(KEV)でも公開されます。

脆弱性の詳細

CVE-2026-39808: 無認証のコマンド注入(悪用の証拠あり)

4件のうち最も警戒すべきものです。送られてきたデータの中の特殊な文字を適切に処理しないため、攻撃者が紛れ込ませたOSの命令をそのまま実行してしまいます(OSコマンドインジェクション、CWE-78)。危険度9.8で、ログインは不要。Fortinetのセキュリティ情報FG-IR-26-100として公開され、実証コード(PoC)がGitHubで公開され、公的機関も悪用の証拠を確認しています。対象はFortiSandbox 4.4.0〜4.4.8とPaaS版の一部です。

CVE-2026-39813: 本来見えない場所をたどる欠陥(悪用を観測)

ファイルの保存場所をたどる指定(「ひとつ上の階層へ」のような指定)を悪用し、本来アクセスできない場所に手を伸ばして権限を奪うパストラバーサル(CWE-24)です。危険度9.8、ログイン不要で、FortinetのFG-IR-26-112として公開されました。セキュリティ企業Defusedは2026年6月16日に実際の悪用を観測したと報告しています。対象はFortiSandbox 4.4.0〜4.4.8と5.0.0〜5.0.5などです。

CVE-2026-26083: 認可の確認漏れでコード実行

本来なら権限を確かめてから許すべき操作について、その確認が抜けている欠陥(認可の欠如、CWE-862)です。危険度9.8、ログイン不要で、Web通信を通じてコードを実行される恐れがあります。FortinetのFG-IR-26-136として公開されました。現時点で実際の悪用の報告はありませんが、条件は上の2件と同じく「無認証」であり、油断はできません。

CVE-2026-25089: 無認証のコマンド注入(実証コードは動作未確認)

こちらもOSコマンドインジェクション(CWE-78)で、危険度9.8・ログイン不要です。FortinetのFG-IR-26-141として公開されました。悪用を試みる動きは観測されたものの、出回った実証コードは作りが粗く、そのままでは動かないと報告されており、確実に動く攻撃コードはまだ公開されていません。ただし脆弱性自体は無認証で成立するため、いつ実用的な攻撃が現れてもおかしくありません。対象はFortiSandbox 4.2.0〜4.2.8、4.4.0〜4.4.8、5.0.0〜5.0.5などです。

対象バージョンと更新の考え方

系統影響を受ける版(4件のいずれか)対応
FortiSandbox 4.24.2.0 〜 4.2.8各セキュリティ情報が
指定する修正版へ更新
FortiSandbox 4.44.4.0 〜 4.4.84.4.9 以降へ更新
FortiSandbox 5.05.0.0 〜 5.0.55.0.6 以降へ更新
FortiSandbox Cloud / PaaS該当する各版Fortinetの案内に従い
更新・確認

※どの版がどのCVEに該当するかは脆弱性ごとに異なります。上記のセキュリティ情報(FG-IR-26-100 / 112 / 136 / 141)で自機の版を照合し、最新の修正版へ更新してください。

これまでの経緯

← スワイプで移動

いま何をすべきか

対策は、Fortinetのセキュリティ情報(FG-IR-26-100 / 112 / 136 / 141)に従って、FortiSandboxを最新の修正版へ更新することです。実際の悪用が観測されている以上、後回しにはできません。上のバージョン表で自機の系統を確認し、4.4系は4.4.9以降、5.0系は5.0.6以降へ更新してください。Cloud版・PaaS版はFortinetの案内に従います。

すぐに更新できない場合は、応急処置としてFortiSandboxの管理画面をインターネットに直接公開せず、信頼できるIPアドレスからだけアクセスできるよう制限すると、無差別スキャンからの露出を減らせます。あわせて、装置に不審なコマンド実行や外部との通信がないか、ログの点検も必要です。

✓ 確認済みの事実

  • FortiSandboxに無認証で乗っ取り可能な9.8の脆弱性が4件(39808398132608325089
  • CVE-2026-39808はPoCが公開され、公的機関が悪用の証拠を確認(FG-IR-26-100
  • Defusedが2026年6月16日にFortiSandboxの脆弱性で実際の悪用を観測(BleepingComputer
  • Fortinetは修正版を公開済み。4.4系は4.4.9以降、5.0系は5.0.6以降が対応版

締めに

FortiSandboxは、マルウェアを見つけて組織を守るための機器です。その守りの装置に、ログインなしで乗っ取れる最高に近い危険度の欠陥が4件も重なり、うち複数で実際の攻撃が始まっています。守るための機器が破られれば、その内側の防御は一気に崩れます。数字の上では「危険度9.8が4件」という異例の集中です。

FortiSandboxは一般の消費者が持つ製品ではなく、対象は運用する企業・官公庁に限られます。ですが、そこに預けられた情報を持つ取引先や利用者まで含めれば、影響は決して小さくありません。運用している組織は、今日のうちに自機のバージョンを確認し、修正版への更新を進めてください。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go