Palo Alto PAN-OSのゼロデイ脆弱性 CVE-2026-0300、ハッカーがサイバー攻撃に悪用パッチは5月13日予定|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年05月11日更新日時: 2026年05月11日

Palo Alto Networksは2026年5月6日、PA-SeriesおよびVM-Seriesファイアウォールに影響するゼロデイ脆弱性CVE-2026-0300（CVSS 9.3）を公開しました。この脆弱性はPAN-OSのUser-ID Authentication Portal（Captive Portal）サービスのバッファオーバーフローであり、インターネットに公開されたファイアウォールに対して未認証のリモートコード実行（RCE）をroot権限で可能にします。

Palo Alto NetworksのUnit 42脅威インテリジェンスチームは、2026年4月9日から始まる攻撃活動をクラスターCL-STA-1132として追跡しており、使用ツールや手法から「中国系国家支援脅威アクター」による攻撃の可能性が高いと分析しています。同社は中国を直接名指しはしていませんが、証拠はその方向を強く示唆しています。

パッチは2026年5月13日（第1弾）・5月28日（第2弾）にリリース予定であり、現時点で適用可能な緩和策の実施が急務です。CISAは本脆弱性をKnown Exploited Vulnerabilities（KEV）カタログにパッチ未提供の状態で追加しています。

【この記事のサマリー】

CVE-2026-0300（CVSS 9.3）：PAN-OSのUser-ID Authentication Portal（Captive Portal）サービスのバッファオーバーフロー。PA-Series・VM-Seriesファイアウォールが影響対象（Prisma Access・Cloud NGFW・Panoramaは対象外）。
攻撃者は未認証・インターネット越しにroot権限でRCEが可能。nginxワーカープロセスへのシェルコード注入が確認されています。
Unit 42が追跡するクラスターCL-STA-1132が2026年4月9日から攻撃を開始。使用したEarthWorm・ReverseSocks5はいずれもVolt Typhoon・APT41等の中国系APTに使用実績のあるオープンソースツールです。
攻撃後にはログの積極的な消去・Active Directory偵察・SAMLフラッドを利用したフェイルオーバー誘発など高度な持続性確保の手法が確認されています。
現時点でパッチなし。5月13日（第1弾）・5月28日（第2弾）に予定。緩和策として「User-ID Authentication Portalを信頼済みIPのみに制限またはオフ」が推奨されています。
CISAがKEVカタログに追加済み（パッチなしでの異例の追加）。

1 脆弱性の詳細
2 攻撃のタイムライン
3 「中国系国家支援」と判断される根拠
4 緩和策パッチ提供までの対応
5 PAN-OSは国家支援ハッカーの常連標的
6 参考情報

脆弱性の詳細

項目	内容
CVE番号	CVE-2026-0300
CVSS スコア	9.3（Critical）
脆弱性の種類	バッファオーバーフロー
影響を受けるコンポーネント	User-ID Authentication Portal（Captive Portal）サービス
影響を受ける製品	PA-Series・VM-Seriesファイアウォール（PAN-OS）
対象外	Prisma Access・Cloud NGFW・Panorama
悪用条件	User-ID Authentication Portalがインターネット/非信頼ネットワークに公開されていること
攻撃結果	未認証・リモートからroot権限でのRCE
パッチ予定	第1弾：2026年5月13日 / 第2弾：2026年5月28日
CISA KEV追加	追加済み（パッチなし状態での異例の追加）

攻撃のタイムライン

Unit 42の調査では、CVE-2026-0300の悪用は限定的であるとしていますが以下のようなタイムラインで攻撃を試みた形跡が指摘しています。

2026年4月9日（プロービング開始）として、標的のPAN-OSデバイスに対してCVE-2026-0300の悪用試行が開始されました。この時点では侵入には至りませんでした。

約1週間後（約4月16日、RCE成功）攻撃者はCVE-2026-0300の悪用に成功し、nginxワーカープロセスにシェルコードを注入してroot権限でのコード実行を達成しました。

侵入直後（ログの積極的消去）、クラッシュカーネルメッセージの消去・nginx系クラッシュエントリおよびレコードの削除・クラッシュコアダンプファイルの削除を行い、フォレンジック検出を妨害しました。

4日後（偵察と更なる侵害）、root権限で複数のツールを展開。ファイアウォールのサービスアカウント認証情報を使用してActive Directory偵察（ドメインルート・DomainDnsZonesの列挙）を実施。その後、監査ログからptrace注入の証拠を削除し、SetUserID（SUID）特権昇格バイナリを削除して証拠隠滅しました。

2026年4月29日（第2デバイスへの展開）として、第1デバイスに対してSAMLフラッドを発動し、第2デバイスをActiveに昇格させてインターネット向けトラフィックを引き継がせました。第2デバイスでも同様にCVE-2026-0300を悪用してRCEに成功。EarthWormおよびReverseSocks5という2つのネットワークトンネリングツールをダウンロードし、永続的なトンネリング・プロキシ能力を確立しました。

「中国系国家支援」と判断される根拠

Palo Alto Networksは中国を直接名指しで非難していませんが、以下の証拠が中国系国家支援グループの関与を示しています。

使用ツールとの一致として、EarthWormは過去にVolt Typhoon・UAT-8337・APT41等の複数の中国系APTグループに使用されていることが記録されています。これらはいずれも中国政府に関連するとみられる脅威アクターです。

オープンソースツールへの依存という戦術として、Palo Alto Networksは「攻撃者はプロプライエタリなマルウェアではなくオープンソースツールに依存することで、シグネチャベースの検出を最小化し、環境への自然な統合を促進した」と説明しています。これは中国系APTが採用することで知られている「環境寄生（Living off the Land）」の応用形です。

規律正しい断続的なセッションという手法として、「複数週間にわたって意図的に断続的な対話セッションを実施し、大多数の自動アラートシステムの振る舞いしきい値を下回るよう意図された」という手口は、高度な国家支援アクターの典型的な特徴です。

緩和策パッチ提供までの対応

パッチリリース（5月13日）まで、以下の緩和策を直ちに実施することが推奨されます。

緩和策1（推奨優先度：最高）として、User-ID Authentication Portalへのアクセスを信頼済み内部IPアドレスのみに制限してください。インターネットや非信頼ネットワークからのアクセスを完全にブロックします。
緩和策2（User-ID Portalが不要な場合）として、User-ID Authentication Portal機能そのものを無効化してください。
緩和策3（全L3インターフェイス）として、非信頼・インターネットトラフィックが入ってくる可能性があるすべてのゾーンの、全L3インターフェイスに付加されているInterface Management ProfileのResponse Pagesを無効化してください。

Palo Alto Networksは「現時点では限定的な悪用のみを把握している」としていますが、CISAがKEVに追加したことは悪用の現実性を公式に認定したものであり、迅速な対応が求められます。

PAN-OSは国家支援ハッカーの常連標的

今回の事案は、Palo Alto Networks製品が国家支援ハッカーの格好の標的になり続けているという傾向の延長です。2024年はPalo Alto製品で7件の悪用済みゼロデイが確認されており（2025年は2件）、CISAのKEVカタログには既にPalo Alto製品の脆弱性が13件登録されています（CVE-2026-0300を除く）。

大手企業・政府機関・重要インフラ等の組織に広く導入されているPalo Alto Networks製品は、国家支援ハッカーにとって「防衛の最前線を掌握する」うえで最高の標的です。侵害に成功すれば、保護対象の内部ネットワーク全体への持続的なアクセスが可能になります。