Fortinetは2026年7月14日、同社製品「FortiOS」を含む複数製品の脆弱性を公表し、順次修正を進めていることを明らかにしました。FortiOS・FortiProxy・FortiPAM向けには「緊急(Critical)」「高(High)」に該当する脆弱性は含まれず、深刻度は中4件・低2件です。ただし同じタイミングで公開された分析基盤「FortiSandbox」の脆弱性(CVE-2026-59835)は「高」に分類されており、こちらは優先度が異なります。まずは自社の利用製品とバージョンを確認しましょう。
FortiGate(FortiOS)は多くの企業でインターネット境界のファイアウォール/VPNとして使われており、情シスにとって影響範囲の確認は避けて通れません。この記事では、今回の脆弱性の要点と、現場で何をすべきかを整理します。
- 今回公表された脆弱性の種類と深刻度(FortiOSファミリーは中・低が中心)
- 特に注意したい「SSL-VPNの反射型XSS」「CLIのパストラバーサル」「FortiSandboxのVNC露出」
- 情シスが確認すべき影響範囲と、対応の優先度の考え方
何が起きたのか
Fortinetは2026年7月14日付で複数のセキュリティアドバイザリを公開しました。FortiOS・FortiProxy・FortiPAMに関する範囲では、報道ベースで中(Medium)4件・低(Low)2件とされ、緊急・高に該当するものは含まれていません。一方、別製品のFortiSandboxについては、後述のとおり「高」に分類される脆弱性が同時期に公表されています。
いずれもすでに修正版が用意されている、もしくは順次提供される段階です。悪用が確認されている(実際に攻撃に使われている)という発表は、本記事執筆時点では確認できていません。とはいえFortinet製品は攻撃者に狙われやすく、過去には公開後まもなく悪用されたケースもあるため、後回しにはできません。
公表された主な脆弱性(FortiOSファミリー)
FortiOS・FortiProxy・FortiPAMに関係する主な脆弱性は次のとおりです。CVSSスコアや影響を受ける詳細バージョンは、必ず後述のFortinet公式アドバイザリ(PSIRT)で確認してください。
| CVE番号 | 脆弱性の種類 | 認証の要否 | 深刻度 |
|---|---|---|---|
| CVE-2026-23573 | SSL-VPNポータルの反射型XSS | 不要(未認証) | 中 |
| CVE-2026-59839 | CLIのパストラバーサル(ファイル削除の恐れ) | 必要(認証済み) | 中 |
| CVE-2026-59837 | スタックバッファオーバーフロー | 必要(認証済み) | 中 |
| CVE-2025-43892 / CVE-2026-59840 | バッファオーバーリード(メモリ情報の漏えい) | 必要(認証済み) | 中 |
| CVE-2025-62675 | HTTPヘッダインジェクション(CRLF) | 不要(未認証) | 低 |
| CVE-2025-62826 | HTTPヘッダインジェクション(CRLF) | 不要(未認証) | 低 |
特に気に留めたい3点
1. SSL-VPNの反射型XSS(CVE-2026-23573)。認証なしで、Web公開されているSSL-VPNポータルが対象という点が気になります。攻撃者が細工したリンクを利用者に踏ませることで、ブラウザ上で不正なスクリプトを実行させる手口が想定されます。深刻度は「中」ですが、境界に露出している面での未認証の欠陥は、フィッシングと組み合わされると厄介です。反射型XSSの仕組みは クロスサイトスクリプティング(XSS)とは?仕組みと対策 で解説しています。
2. CLIのパストラバーサル(CVE-2026-59839)。認証済みの攻撃者が、限定されたCLIアクセスからパス指定の不備を突き、ルートファイルシステム上のファイルを削除できる恐れがあるとされます。認証が前提とはいえ、管理面の権限分離や、認証情報が漏れた場合の被害拡大を考えると軽視できません。
3. FortiSandboxのVNC露出(CVE-2026-59835、深刻度「高」)。複数の海外報道によれば、FortiSandboxでVNCがすべてのネットワークインターフェース上に未認証で露出しうる問題で、遠隔の攻撃者が到達できる可能性が指摘されています。FortiOSファミリーの中・低とは優先度が異なるため、FortiSandboxを運用している組織は個別に確認してください。
影響を受ける環境/なぜ確認が必要か
今回のアドバイザリは製品・機能ごとに影響バージョンが異なります。FortiGateでSSL-VPNを外部公開している、FortiProxyやFortiPAMを利用している、FortiSandboxで検体解析を行っている——といった構成ごとに、該当するかどうかが変わります。
「深刻度が中・低だから」と一括で後回しにせず、まずは自社が動かしているバージョンが影響範囲に入るかを突き合わせることが出発点です。境界機器はインターネットに面しているぶん、未認証で突ける欠陥は優先度が上がりやすい、という判断軸を持っておくとよいでしょう。
現場目線の課題
正直なところ、境界機器のパッチ適用は「言うは易し」です。FortiGateはVPNの終端やインターネット接続の要になっていることが多く、再起動やアップグレードには利用者影響とメンテナンス調整がついて回ります。深刻度が中・低だと、緊急ほどの優先度で調整枠を取りにくく、つい先送りになりがちです。
しかし、未認証・Web公開面の脆弱性は「小さく見えて入口になりうる」もの。数が多いと一件ずつの重みが埋もれてしまうため、製品・バージョンの棚卸し表を手元に持ち、公式アドバイザリのCVEと機械的に突き合わせる運用にしておくと、判断のブレが減ります。
情シスはどうすべきか
対応の基本は「公式情報で影響範囲を確認し、計画的にパッチを当てる」ことに尽きます。
- Fortinet公式PSIRTで一次情報を確認する。CVE番号・影響バージョン・修正版は必ず FortiGuard Labs PSIRT アドバイザリ で確認します(本記事の表は概要であり、適用判断は公式で行ってください)。
- 外部公開面を優先する。SSL-VPNなどインターネットに面した機能に関わるCVEから着手し、公開ポータルの必要性そのものも見直します。
- 資産・バージョンの棚卸し。どの拠点でどの機種・バージョンが動いているかを一覧化し、アドバイザリと突き合わせます。
あわせて、脆弱性管理そのものの体制づくりには、IPAの中小企業の情報セキュリティ対策ガイドラインが土台として役立ちます。利用者向けには、不審なリンクを踏ませるXSS・フィッシング対策として、地道な注意喚起(対策のしおりなど)の継続も欠かせません。
中長期の視点
境界機器の脆弱性は今後も定期的に出続けます。今回のように「緊急ではないが数が多い」パッチをどう捌くかは、平時の運用力が問われる場面です。パッチ適用の調整に時間がかかる現実は、ゼロデイの未公開とパッチ待ちの空白に情シスは何をすべきか でも触れています。修正版がある今回はむしろ「計画的に当てられる」好機と捉え、月次の脆弱性対応サイクルに組み込むのが現実的です。
まとめ
- Fortinetが2026年7月14日、FortiOSファミリーの脆弱性を中4件・低2件公表。緊急・高は含まれないが、同時期のFortiSandbox(CVE-2026-59835)は「高」で優先度が別。
- 未認証・Web公開面のSSL-VPN反射型XSS(CVE-2026-23573)や、CLIのパストラバーサル(CVE-2026-59839)は特に確認したい。
- 深刻度に関わらず、まず自社のバージョンが影響範囲かを公式PSIRTで確認し、外部公開面から計画的にパッチを当てる。
出典
- 「FortiOS」に複数脆弱性 – アップデートで修正(Security NEXT, 2026-07-15)
- FortiGuard Labs PSIRT アドバイザリ(Fortinet公式・影響バージョン/修正版の確認先)
※本記事の深刻度・脆弱性種別は公表情報・報道に基づく概要です。CVSSスコアや影響を受ける具体的なバージョン、修正版の番号は各アドバイザリで異なるため、適用判断は必ずFortinet公式PSIRTの最新情報で確認してください。

