CISA KEVに追加されたFortiSandboxのCVE-2026-25089とCVE-2026-39808について、製品別の影響バージョン、修正版、GUI・APIの公開範囲、ログ保全、更新後確認を公式情報に基づき整理します。管理基盤の初動チェックリスト付きです。
この記事の目次 9項目から選ぶ
何が起きたか
2026年7月16日、CISAは FortiSandbox CVE-2026-25089 と CVE-2026-39808 を Known Exploited Vulnerabilities(KEV)へ追加した。CISA KEV JSONでは、どちらも対応期限が7月19日とされている。
Fortinet PSIRTは、2件をOSコマンドインジェクションの脆弱性として公開している。CVE-2026-25089はFortiSandboxのWeb UI、CVE-2026-39808はFortiSandboxのAPIに関係し、いずれも認証されていない攻撃者による不正なコマンド実行につながる可能性があると説明されている。
まず行うべきことは、FortiSandboxの利用形態とバージョンを確定し、GUI・APIの到達範囲を狭め、更新前の管理ログと設定を保全することだ。この記事ではPoC、攻撃リクエスト、探索方法は扱わない。
| 項目 | CVE-2026-25089 | CVE-2026-39808 |
|---|---|---|
| 関係する面 | Web UI | API |
| CWE | CWE-78 | CWE-78 |
| Fortinet PSIRT深刻度 | Critical | Critical |
| Fortinet PSIRT CVSS v3 | 9.1 | 9.1 |
| CISA KEV追加日 | 2026-07-16 | 2026-07-16 |
| CISA KEV期限 | 2026-07-19 | 2026-07-19 |
CISAの期限は米国連邦政府機関向けの要求であり、すべての組織に同じ法的期限が適用されるわけではない。日本の組織でも、既知悪用、認証不要、管理基盤という条件を優先度判断に使える。
影響を受ける可能性がある組織・担当者
FortiSandboxをオンプレミス、FortiSandbox Cloud、FortiSandbox PaaSとして利用する組織が確認対象だ。2件の対象範囲は同じではないため、「FortiSandboxを最新版にした」という一文だけでは対象外判断にならない。
| 読者 | まず確認すること |
|---|---|
| 情シス・ネットワーク担当 | アプライアンス、Cloud、PaaSの契約・資産、版、管理URL、更新責任者 |
| SOC・マルウェア解析担当 | 検体投入、分析結果、連携製品、管理者、API利用、運用停止影響 |
| MSSP・委託先管理者 | 顧客別環境、保守経路、共有管理者、作業証跡、連絡分担 |
| CSIRT | GUI・APIの到達範囲、管理ログ、設定変更、連携認証情報、ログ欠損 |
| 経営・事業責任者 | 解析基盤停止時の代替手段、監視への影響、顧客・委託先への連絡 |
FortiSandboxはセキュリティ製品だが、それ自体が高権限の管理基盤である。検体、分析結果、連携先、API、管理者権限を持つため、「防御製品だから安全」とは判断できない。
なぜ重要か
2件はCISA KEVへ同日に追加され、Fortinet PSIRTはいずれもCriticalとしている。管理UIやAPIに関係するため、更新だけでなく、インターネットや広い管理ネットワークからの到達、委託先経路、管理者・API認証情報、連携設定の確認が必要になる。
Fortinet PSIRTが示す対象と更新先は次のとおりだ。最終判断は必ずPSIRTの最新ページとFortinetのUpgrade Path Tool、保守契約、管理画面を照合する。
CVE-2026-25089
| 製品 | 影響範囲 | 公式の対応先 |
|---|---|---|
| FortiSandbox 5.0 | 5.0.0から5.0.5 | 5.0.6以降へ更新 |
| FortiSandbox 4.4 | 4.4.0から4.4.8 | 4.4.9以降へ更新 |
| FortiSandbox 4.2 | 4.2全版 | 修正版へ移行 |
| FortiSandbox Cloud 5.0 | 5.0.4から5.0.5 | 5.0.6以降へ更新 |
| FortiSandbox PaaS 5.0 | 5.0.4から5.0.5 | 5.0.6以降へ更新 |
FortiSandbox 5.2、Cloud 5.2、Cloud 4.4、PaaS 5.2、PaaS 4.4など、PSIRTで影響なしと示される系統もある。製品形態を取り違えずに確認する。
CVE-2026-39808
| 製品 | 影響範囲 | 公式の対応先 |
|---|---|---|
| FortiSandbox 4.4 | 4.4.0から4.4.8 | 4.4.9以降へ更新 |
| FortiSandbox 5.0 | 影響なし | 対象外根拠を記録 |
| FortiSandbox PaaS 5.0 | 影響なし | 対象外根拠を記録 |
同じ製品名でも、オンプレミス、Cloud、PaaS、メジャー版によって対象が異なる。資産台帳の製品名だけでなく、提供形態と実バージョンを確認することが重要だ。
まず確認すべきこと
- FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSを本番、検証、DR、委託先管理まで棚卸しする。
- 各環境の提供形態、バージョン、シリアル・契約、所有者、保守担当、更新状態を記録する。
- CVE-2026-25089とCVE-2026-39808を別々にPSIRTで確認し、対象・対象外の根拠を残す。
- GUI、API、管理用FQDN、VPN、踏み台、固定IP、委託先経路の到達範囲を確認する。
- ローカル管理者、SSO・IdP、MFA、APIユーザー、トークン、連携製品の権限を確認する。
- 管理ログ、認証ログ、設定変更、API利用、アップデート履歴、ログ転送先を保全する。
- 不審な管理者追加、設定変更、連携先変更、API認証情報発行、ログ欠損を確認する。
- 更新後に検体投入、分析、結果通知、連携、ログ転送、監視アラートが正常か確認する。
製品非依存の作業票として インターネット公開管理画面 緊急点検チェックリスト を使い、対象、露出、暫定緩和、ログ、更新後確認を記録する。
推奨される初動対応
やること
- 対象を「更新済み」「未更新」「未確認」「対象外」に分け、CVEごとの根拠を残す。
- GUI・APIを不要に公開している場合は、業務影響を確認してVPN、管理ネットワーク、固定IPなどへ制限する。
- 更新前に管理ログ、設定、管理者・APIユーザー、連携先、バックアップ、ロールバック条件を保全する。
- Fortinet PSIRTとUpgrade Path Tool、保守契約に従って更新し、クラスタや連携先を含めて確認する。
- 不審点がある場合は、証跡保全後に管理セッション停止、資格情報失効、連携先確認、CSIRT報告へ進む。
やらないこと
- 本番、第三者、インターネット上の機器に対してPoC、攻撃再現、探索を行わない。
- 不審な設定やアカウントを、スクリーンショット、ログ、時刻、権限を残す前に削除しない。
- CVE-2026-25089の対象表をCVE-2026-39808へそのまま当てはめない。
- 管理UIだけを制限して、API、保守トンネル、委託先、管理ネットワークの経路を見落とさない。
- 更新完了だけを報告し、ログ確認、連携確認、残リスク、再確認日を省略しない。
記録すべきこと
- CVE番号、参照したCISA・Fortinet PSIRT・NVD、確認日時、確認者。
- 提供形態、環境名、バージョン、管理URL、API、到達範囲、管理者、保守担当。
- 更新前後のログ、設定、管理者・APIユーザー、連携先、バックアップ、機能確認。
- 不審点、暫定制御、未確認事項、残リスク、報告先、次回確認日。
判断基準とエスカレーション条件
次のいずれかに該当する場合は、通常の更新作業ではなくインシデント対応へ上げる。
- KEV対象バージョンが残る、または提供形態とバージョンを確定できない。
- GUI・APIがインターネット、広い社内ネットワーク、委託先経路から到達可能だった。
- 想定外の管理者、APIユーザー、トークン、設定変更、連携先変更、ログ欠損がある。
- FortiSandboxが複数拠点、顧客、重要ネットワーク、メール・ファイル解析の中核を担っている。
- 更新停止が検知・分析・隔離・顧客サービスへ影響し、代替策の承認が必要になる。
- 共有管理者、保守用アカウント、委託先権限、ログ保管先を確認できない。
優先度判断では、CVSSだけでなく、KEV、管理面の露出、資産の役割、連携権限、不審ログを組み合わせる。管理プレーン の考え方も役立つ。
よくある誤解
「FortiSandboxは防御製品なので外部から狙われにくい」
セキュリティ製品も管理UI、API、管理者、連携先を持つ。高権限で他システムと接続するため、管理基盤として扱う必要がある。
「4.4.9へ上げればすべての環境で完了」
4.4系では重要な更新先だが、5.0、Cloud、PaaS、4.2では対象と対応が異なる。2件それぞれのPSIRT表と実環境を照合する。
「ベンダー画面に既知悪用なしとあればKEVは無視できる」
ベンダーアドバイザリの公開後にCISA KEVへ追加されることがある。情報源の更新時刻を確認し、より新しいKEV追加を優先度判断へ反映する。
関連するCyberLens内部リンク
- インターネット公開管理画面 緊急点検チェックリスト:このニュースに対応する実務チェックリスト。
- CVE初動対応チェックリスト:CVEごとの対象判定と優先度判断。
- 管理画面認証回避・境界機器脆弱性 初動対応:侵害疑いがある場合の封じ込め、調査、復旧、報告。
- 管理プレーンセキュリティ:管理UI、API、保守経路を守る考え方。
- 管理プレーンとは:業務機能と管理機能の違いを確認する。
- KEVとは:既知悪用情報を優先度判断へ使う。
- CVEとCVSSの違い:番号、深刻度、対応優先度を分けて考える。
- セキュリティニュース一覧:最新の脆弱性対応情報を確認する。