サイトセキュリティ

休日を狙うゼロデイ、2ヶ月で2回破られたEU――『うちは関係ない』が最も危険な理由

2026年4月6日、米CISAが緊急警告を出しました。Fortinetの管理製品FortiClient EMSにゼロデイ脆弱性（CVE-2026-35616、深刻度9.1）が見つかり、イースター休暇中に実際の攻撃が確認されたのです。セキュリティチームが半分の体制になる休日を狙い、パッチが出る前からの悪用でした。同時期、欧州委員会（EU）はAWSクラウドの設定ミスで2ヶ月間に2度目の侵害を受けています。攻撃者は常に『守る側が手薄な瞬間』と『放置された設定』を狙っています。

2026年4月7日8分で読めます

まずは無料で診断してみませんか？

記事を読む前に、あなたの現状を確認できます

サイト診断を始めるプライバシー診断を始める

この記事でわかること

FortiClient EMSのゼロデイCVE-2026-35616がイースター休暇中に悪用された
CISAが緊急でKEVカタログに追加し3日以内の対応を要求した
欧州委員会は2ヶ月で2回クラウドインフラを侵害されている
攻撃者は休日やパッチ未適用のタイミングを組織的に狙っている

イースターの朝、攻撃は始まっていた

2026年4月5日（イースター土曜日）、Fortinetが緊急パッチを公開しました。FortiClient EMSに認証前のAPIアクセスバイパスによる権限昇格の脆弱性（CVE-2026-35616、CVSS 9.1）が見つかり、すでに実際の攻撃で悪用されていたためです。

セキュリティ企業watchTowrは、自社のハニーポットに対する攻撃試行を3月31日から記録していたと報告しています。つまり攻撃者はパッチが出る1週間以上前から、この脆弱性を悪用していたことになります。

休日はセキュリティチームが半分の体制になり、オンコールの担当者は気が散っている。侵害から検知までの時間が数時間から数日に伸びる。攻撃者にとって休日は機会そのものだ。

翌4月6日、米CISAはこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加。連邦政府機関に対し、わずか3日後の4月9日までに修正を完了するよう要求しました。

これはFortinetだけの問題ではない

CVE-2026-35616はFortinetの管理製品の脆弱性ですが、この事件が示しているのは『インターネットに公開されたサービスの脆弱性は、発見された瞬間から攻撃される』という原則です。

watchTowrのCEOは『これは数週間前に出た別のFortiClient EMS脆弱性に続く2つ目の認証前バイパスだ』と指摘しています。同じ製品が短期間で2度目のゼロデイを受けるということは、攻撃者がこのカテゴリのサービスを集中的に研究していることを意味します。

EUは2ヶ月で2回破られた

2026年2月、欧州委員会のMDM（モバイルデバイス管理）インフラが侵害され、職員の名前と携帯番号が流出しました。

そのわずか1ヶ月後の3月、今度はAWS上の欧州委員会Webインフラ（europa.euドメイン）が侵害されました。ハッカー集団ShinyHuntersが犯行声明を出し、約350GBのデータ（データベース、メールサーバー内容、機密契約書等）を窃取したと主張。BleepingComputerが窃取データの一部を確認しています。42の内部クライアントと29のEU機関が影響を受けた可能性があります。

2ヶ月で2回の侵害は偶然ではなくパターンです。設定が見直されなければ、同じ弱点は繰り返し突かれます。