Palo Alto Networks PAN-OSのGlobalProtect 認証回避 脆弱性 CVE-2026-0257がサイバー攻撃に確認

セキュリティニュース

投稿日時: 更新日時:

Palo Alto Networks PAN-OSのGlobalProtect 認証回避 脆弱性 CVE-2026-0257がサイバー攻撃に確認

Palo Alto NetworksのPAN-OSにおけるGlobalProtect認証回避脆弱性CVE-2026-0257について、実際の悪用が確認されています。

CVE-2026-0257は、PAN-OSのGlobalProtectポータルおよびゲートウェイに影響する認証回避の脆弱性です。悪用された場合、攻撃者が認証を回避し、GlobalProtect経由で不正なVPN接続を確立できる可能性があります。

Palo Alto Networksのアドバイザリでは、CVE-2026-0257のExploit MaturityはATTACKED、UrgencyはHIGHESTとされています。CVSSスコアは7.8でHighですが、VPN境界機器の認証回避であり、Rapid7は実際の悪用を観測していることから、組織はCritical相当の優先度で対応すべきとしています。

Rapid7 MDRは、2026年5月17日以降に複数顧客環境でCVE-2026-0257の悪用を確認したと報告しています。一部の事例では、攻撃者が偽造Cookieによる認証を成功させ、VPN IPの割り当てを受け、内部ネットワークへ到達したとされています。

この記事のサマリー

  • PAN-OSのGlobalProtect認証回避脆弱性CVE-2026-0257が悪用されています。
  • 影響を受けるのは、GlobalProtectポータルまたはゲートウェイでAuthentication Override Cookieが有効な特定構成です。
  • 悪用された場合、攻撃者が認証を回避して不正なVPN接続を確立する恐れがあります。
  • Palo Alto Networksは、CVE-2026-0257のExploit MaturityをATTACKED、UrgencyをHIGHESTとしています。
  • Rapid7は、2026年5月17日から悪用を観測し、5月21日にはVPN IP割り当てまで至った事例を確認しています。
  • 影響を受けるPAN-OS 12.1、11.2、11.1、10.2およびPrisma Accessの一部バージョンは、修正版への更新が必要です。
  • すぐに更新できない場合は、Authentication Overrideの無効化、または専用証明書の利用が推奨されています。
  • 情報システム部門は、GlobalProtect認証ログ、Cookie認証、ローカルadminアカウント、同一MACアドレス、VultrやDromatics Systemsなどのホスティング事業者経由の接続を確認してください。

脆弱性の概要

項目 内容
CVE CVE-2026-0257
製品 Palo Alto Networks PAN-OS / Prisma Accessの一部
影響機能 GlobalProtectポータル、GlobalProtectゲートウェイ
種別 認証回避
CVSS 7.8 High
Palo Alto NetworksのUrgency HIGHEST
Exploit Maturity ATTACKED
攻撃条件 ネットワーク到達可能、認証不要、ユーザー操作不要
想定影響 認証回避、不正VPN接続、内部ネットワークへの到達
影響を受けない製品 Panorama、Cloud NGFW

影響を受けるバージョン

Palo Alto NetworksのアドバイザリおよびRapid7の整理では、主な影響バージョンと修正版は以下です。

製品 影響バージョン 修正版
PAN-OS 12.1 12.1.4-h6未満、12.1.7未満 12.1.4-h6以降、12.1.7以降
PAN-OS 11.2 11.2.4-h17未満、11.2.7-h14未満、11.2.10-h7未満、11.2.12未満 11.2.4-h17以降、11.2.7-h14以降、11.2.10-h7以降、11.2.12以降
PAN-OS 11.1 11.1.4-h33未満、11.1.6-h32未満、11.1.7-h6未満、11.1.10-h25未満、11.1.13-h5未満、11.1.15未満 11.1.4-h33以降、11.1.6-h32以降、11.1.7-h6以降、11.1.10-h25以降、11.1.13-h5以降、11.1.15以降
PAN-OS 10.2 10.2.7-h34未満、10.2.10-h36未満、10.2.13-h21未満、10.2.16-h7未満、10.2.18-h6未満 10.2.7-h34以降、10.2.10-h36以降、10.2.13-h21以降、10.2.16-h7以降、10.2.18-h6以降
Prisma Access 11.2.0 11.2.7-h13未満 11.2.7-h13以降
Prisma Access 10.2.0 10.2.10-h36未満 10.2.10-h36以降

Palo Alto Networksは、Prisma Accessについて、顧客ごとのアップグレードスケジュールに沿って積極的に更新を進めていると説明しています。

攻撃に必要な構成条件

CVE-2026-0257は、すべてのPAN-OS機器で無条件に悪用できるものではありません。

Palo Alto Networksによると、影響を受けるのは、GlobalProtectポータルまたはゲートウェイが構成され、Authentication Override Cookieが有効な環境です。

Rapid7は、影響を受ける製品では、GlobalProtectポータルまたはゲートウェイのいずれかでAuthentication Override機能が有効であり、さらにAuthentication Override Cookieの暗号化・復号に使う証明書が他の機能と再利用されている構成が問題になると説明しています。

確認ポイントは以下です。

確認対象 内容
GlobalProtect Portal AuthenticationタブでGenerate cookieまたはAccept cookie for authentication overrideが有効か
GlobalProtect Gateway Authentication OverrideタブでAccept cookie for authentication overrideが有効か
証明書 Authentication Override Cookie用の証明書を他機能と共有していないか
PAN-OSバージョン 修正版へ更新済みか
Prisma Access 影響対象バージョンか、アップグレード済みか

攻撃の特徴

Rapid7が観測した攻撃では、GlobalProtect認証ログにCookie認証として成功した記録が残っています。

初期波では、Vultrのホスティングインフラからローカルadminアカウントに対する不審なCookie認証が確認されました。第2波では、Dromatics Systemsからの接続が確認され、一部環境ではVPN IPが割り当てられました。

Rapid7の観測では、影響を受けた複数顧客のうち、偽造Cookieを使った認証プローブは成功していたものの、完全なVPNセッション確立には至らなかった例もあります。一方で、VPN IP割り当てまで進んだ環境では、攻撃者が内部ネットワークへ到達できた可能性があります。

確認すべきログの特徴は以下です。

ログ・兆候 内容
GlobalProtect認証ログ Cookie認証による不審な成功ログ
アカウント ローカルadminアカウントへのCookie認証
送信元 Vultr、Dromatics Systemsなどホスティング事業者のIP
端末情報 不自然なホスト名やOS情報
MACアドレス 複数イベントで同一MACアドレスが使われていないか
VPN IP割り当て Cookie認証後にVPN IPが割り当てられていないか
内部通信 VPN接続後にファイルサーバ、AD、管理系セグメントへアクセスしていないか

なぜ危険なのか

CVE-2026-0257は、単なるログイン画面の不具合ではありません。

GlobalProtectは、社外から社内ネットワークへ入るための正規入口です。ここで認証回避が成立すると、攻撃者は端末をマルウェア感染させる前に、VPN経由で内部ネットワークへ入れる可能性があります。

VPN接続後に到達できる範囲が広い環境では、以下のような被害につながります。

想定影響 内容
内部ネットワーク侵入 社内サーバ、ファイル共有、管理系システムへ到達
認証情報窃取 AD、ファイルサーバ、管理端末から認証情報を収集
横展開 RDP、SMB、WinRM、VPN経由で他端末へ移動
ランサムウェア前段階 ファイルサーバ探索、バックアップ確認、EDR回避
情報漏えい 内部共有ファイルや業務システムからデータ取得
監視回避 正規VPN接続に見えるため検知が遅れる可能性

VPNのログイン成功は通常業務でも発生するため、単純な成功ログだけでは異常と判断しづらい点も問題です。Cookie認証、送信元IP、アカウント、端末情報、VPN IP割り当て、内部通信を組み合わせて確認する必要があります。

すぐに実施すべき対応

Step 1:影響対象のPAN-OS・Prisma Accessを確認する

まず、自社でPalo Alto NetworksのGlobalProtectを利用しているか確認してください。

確認対象は、本社、支社、海外拠点、グループ会社、M&Aで引き継いだ環境、委託先が管理するVPN環境です。

確認対象 内容
PA-Series GlobalProtect Portal/Gatewayの有無
VM-Series クラウド上のGlobalProtect構成
Prisma Access 対象バージョンと更新状況
海外拠点 独自に導入したGlobalProtectの有無
検証環境 インターネット公開されたままのVPN検証機
DR環境 普段使わないバックアップVPN環境

Step 2:修正版へ更新する

影響バージョンを利用している場合は、Palo Alto Networksが案内する修正版へ更新してください。

Palo Alto Networksは、修正版適用によりAuthentication Override Cookieがより安全な方式で再生成されると説明しています。そのため、アップグレード後、GlobalProtectユーザーは有効なCookieを持っていても一度再認証が必要になります。これは一度限りの要件であり、再認証後は通常どおりCookieの有効性が機能します。

更新時には以下を確認してください。

項目 内容
HA構成 Active/PassiveまたはActive/Activeの更新手順
GP利用者影響 再認証が必要になることを事前周知
証明書 Authentication Override Cookie用証明書の扱い
ロールバック 更新失敗時の復旧手順
ログ保全 更新前に疑わしいログを保全
Prisma Access ベンダー側アップグレードスケジュール確認

Step 3:Authentication Overrideを無効化する

すぐに更新できない場合、Palo Alto NetworksはAuthentication Overrideを無効化することを緩和策として示しています。

GlobalProtect PortalおよびGatewayの設定で、Authentication Override Cookieを生成・受け入れるオプションを無効化してください。

場所 確認内容
GlobalProtect Portal Generate cookie / Accept cookie for authentication overrideが有効か
GlobalProtect Gateway Accept cookie for authentication overrideが有効か
ユーザー影響 再認証頻度が増える可能性
運用影響 利便性低下とセキュリティリスクを比較

Authentication Overrideは利便性のための機能です。攻撃が観測されている状況では、不要であれば無効化を優先してください。

Step 4:専用証明書を利用する

Authentication Overrideを利用し続ける必要がある場合は、Cookie専用の証明書を生成し、他の機能やユーザーと共有しないようにしてください。

Rapid7は、影響構成ではAuthentication Override Cookieの暗号化・復号に使う証明書が他の機能と再利用されていることが問題になると説明しています。

確認項目 内容
専用証明書 Authentication Override Cookie専用か
証明書共有 Portal/Gateway HTTPS証明書と共有していないか
秘密鍵管理 秘密鍵の保管・アクセス権限
有効期限 証明書更新時の運用手順
バックアップ 古い脆弱構成を復元しないか

Step 5:GlobalProtectログを確認する

すでに悪用されていないか確認してください。

Rapid7が観測したように、Cookie認証によるローカルadminアカウントへのログイン、同一MACアドレス、不審なホスティング事業者からのアクセス、VPN IP割り当てを重点的に見ます。

確認対象は以下です。

ログ 見るべき内容
GlobalProtect認証ログ Cookie認証による成功
gateway-auth 不審なlogin成功
ユーザー名 adminやローカルアカウントの利用
送信元IP Vultr、Dromatics Systems、未知のVPS
端末名 DESKTOP-GP01など不自然なホスト名
OS情報 Linux、Windowsなど通常と異なる端末
MACアドレス 複数イベントで同じMACが使われていないか
VPN割り当て 認証後にIPが付与されていないか

Step 6:VPN接続後の内部アクセスを確認する

VPN認証が成功していた場合、VPNログだけで調査を終えてはいけません。

攻撃者がVPN IPを取得した後、内部ネットワークへアクセスしていないか確認してください。

確認対象 内容
DHCP/VPN IPログ 攻撃者に割り当てられたIP
FWログ VPNセグメントから内部サーバへの通信
ADログ 不審なKerberos、NTLM、LDAPアクセス
ファイルサーバ 大量ファイル閲覧、SMBアクセス
RDP/WinRM 管理系ポートへの接続
EDR VPN接続後の横展開ツール実行
DNS 内部ドメイン探索、管理系ホスト探索

Rapid7は、観測した事例で横展開成功の兆候は確認していないとしていますが、VPN IP割り当てまで進んだ環境では、内部アクセスの調査が必要です。

情報システム部門が確認すべきポイント

GlobalProtectをインターネット公開している前提で監視する

VPNは外部公開が前提になりやすいサービスです。攻撃者は公開されているVPN機器を継続的にスキャンし、脆弱性や設定不備を探します。

今回のCVE-2026-0257は、Authentication Override Cookieが有効な特定構成が問題になりますが、過去にはPAN-OSのUser-ID Authentication Portalや管理UI、GlobalProtect関連機能を狙う攻撃も確認されています。

GlobalProtect環境では、以下を継続的に確認してください。

項目 内容
公開範囲 不要なポータル・ゲートウェイが公開されていないか
管理UI インターネットから管理UIへ到達できないか
MFA すべてのリモートアクセスにMFAを強制
ローカルアカウント adminなどのローカル認証を最小化
地域制限 業務上不要な国・地域からの接続制限
ログ監視 成功ログも含めた異常検知
証明書管理 Cookie・Portal・Gateway証明書の用途分離

VPN後のネットワーク分離を確認する

VPN接続後に社内全体へ到達できる構成は危険です。

攻撃者がVPNを突破した場合でも、影響範囲を限定できるように、接続元グループごとにアクセス先を制限してください。

ユーザー種別 推奨される制御
一般ユーザー 業務アプリと必要なファイル共有のみ
開発者 開発環境・Git・CI/CDに限定
管理者 踏み台経由、MFA、操作ログ取得
委託先 作業時間・接続元・対象システムを限定
海外拠点 拠点間で必要な通信のみ許可

VPN機器の脆弱性対応では、パッチ適用だけでなく、VPN突破後にどこまで到達できるかを確認することが重要です。

今後確認すべきこと

CVE-2026-0257は、実際に悪用が確認され、CISAのKnown Exploited Vulnerabilities Catalogにも追加されています。

今後は、攻撃手法の再現コードや検証スクリプトが広がる可能性があります。特に、公開GlobalProtectを持つ組織では、スキャンや認証プローブが増える可能性があります。

確認すべき点は以下です。

確認点 理由
修正版適用状況 影響バージョンが残っていないか
Authentication Override設定 無効化または専用証明書化されているか
GlobalProtectログ 5月17日以降のCookie認証成功を確認
VPN割り当て 不審なVPN IP割り当てがないか
内部アクセス VPN経由の横展開がないか
旧バックアップ 脆弱な設定を復元しないか
関連脆弱性 CVE-2026-0300やCVE-2026-0265などPAN-OS関連脆弱性も確認

参考情報・出典