Palo Alto NetworksのPAN-OSにおけるGlobalProtect認証回避脆弱性CVE-2026-0257について、実際の悪用が確認されています。
CVE-2026-0257は、PAN-OSのGlobalProtectポータルおよびゲートウェイに影響する認証回避の脆弱性です。悪用された場合、攻撃者が認証を回避し、GlobalProtect経由で不正なVPN接続を確立できる可能性があります。
Palo Alto Networksのアドバイザリでは、CVE-2026-0257のExploit MaturityはATTACKED、UrgencyはHIGHESTとされています。CVSSスコアは7.8でHighですが、VPN境界機器の認証回避であり、Rapid7は実際の悪用を観測していることから、組織はCritical相当の優先度で対応すべきとしています。
Rapid7 MDRは、2026年5月17日以降に複数顧客環境でCVE-2026-0257の悪用を確認したと報告しています。一部の事例では、攻撃者が偽造Cookieによる認証を成功させ、VPN IPの割り当てを受け、内部ネットワークへ到達したとされています。
この記事のサマリー
- PAN-OSのGlobalProtect認証回避脆弱性CVE-2026-0257が悪用されています。
- 影響を受けるのは、GlobalProtectポータルまたはゲートウェイでAuthentication Override Cookieが有効な特定構成です。
- 悪用された場合、攻撃者が認証を回避して不正なVPN接続を確立する恐れがあります。
- Palo Alto Networksは、CVE-2026-0257のExploit MaturityをATTACKED、UrgencyをHIGHESTとしています。
- Rapid7は、2026年5月17日から悪用を観測し、5月21日にはVPN IP割り当てまで至った事例を確認しています。
- 影響を受けるPAN-OS 12.1、11.2、11.1、10.2およびPrisma Accessの一部バージョンは、修正版への更新が必要です。
- すぐに更新できない場合は、Authentication Overrideの無効化、または専用証明書の利用が推奨されています。
- 情報システム部門は、GlobalProtect認証ログ、Cookie認証、ローカルadminアカウント、同一MACアドレス、VultrやDromatics Systemsなどのホスティング事業者経由の接続を確認してください。
目次
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-0257 |
| 製品 | Palo Alto Networks PAN-OS / Prisma Accessの一部 |
| 影響機能 | GlobalProtectポータル、GlobalProtectゲートウェイ |
| 種別 | 認証回避 |
| CVSS | 7.8 High |
| Palo Alto NetworksのUrgency | HIGHEST |
| Exploit Maturity | ATTACKED |
| 攻撃条件 | ネットワーク到達可能、認証不要、ユーザー操作不要 |
| 想定影響 | 認証回避、不正VPN接続、内部ネットワークへの到達 |
| 影響を受けない製品 | Panorama、Cloud NGFW |
影響を受けるバージョン
Palo Alto NetworksのアドバイザリおよびRapid7の整理では、主な影響バージョンと修正版は以下です。
| 製品 | 影響バージョン | 修正版 |
|---|---|---|
| PAN-OS 12.1 | 12.1.4-h6未満、12.1.7未満 | 12.1.4-h6以降、12.1.7以降 |
| PAN-OS 11.2 | 11.2.4-h17未満、11.2.7-h14未満、11.2.10-h7未満、11.2.12未満 | 11.2.4-h17以降、11.2.7-h14以降、11.2.10-h7以降、11.2.12以降 |
| PAN-OS 11.1 | 11.1.4-h33未満、11.1.6-h32未満、11.1.7-h6未満、11.1.10-h25未満、11.1.13-h5未満、11.1.15未満 | 11.1.4-h33以降、11.1.6-h32以降、11.1.7-h6以降、11.1.10-h25以降、11.1.13-h5以降、11.1.15以降 |
| PAN-OS 10.2 | 10.2.7-h34未満、10.2.10-h36未満、10.2.13-h21未満、10.2.16-h7未満、10.2.18-h6未満 | 10.2.7-h34以降、10.2.10-h36以降、10.2.13-h21以降、10.2.16-h7以降、10.2.18-h6以降 |
| Prisma Access 11.2.0 | 11.2.7-h13未満 | 11.2.7-h13以降 |
| Prisma Access 10.2.0 | 10.2.10-h36未満 | 10.2.10-h36以降 |
Palo Alto Networksは、Prisma Accessについて、顧客ごとのアップグレードスケジュールに沿って積極的に更新を進めていると説明しています。
攻撃に必要な構成条件
CVE-2026-0257は、すべてのPAN-OS機器で無条件に悪用できるものではありません。
Palo Alto Networksによると、影響を受けるのは、GlobalProtectポータルまたはゲートウェイが構成され、Authentication Override Cookieが有効な環境です。
Rapid7は、影響を受ける製品では、GlobalProtectポータルまたはゲートウェイのいずれかでAuthentication Override機能が有効であり、さらにAuthentication Override Cookieの暗号化・復号に使う証明書が他の機能と再利用されている構成が問題になると説明しています。
確認ポイントは以下です。
| 確認対象 | 内容 |
|---|---|
| GlobalProtect Portal | AuthenticationタブでGenerate cookieまたはAccept cookie for authentication overrideが有効か |
| GlobalProtect Gateway | Authentication OverrideタブでAccept cookie for authentication overrideが有効か |
| 証明書 | Authentication Override Cookie用の証明書を他機能と共有していないか |
| PAN-OSバージョン | 修正版へ更新済みか |
| Prisma Access | 影響対象バージョンか、アップグレード済みか |
攻撃の特徴
Rapid7が観測した攻撃では、GlobalProtect認証ログにCookie認証として成功した記録が残っています。
初期波では、Vultrのホスティングインフラからローカルadminアカウントに対する不審なCookie認証が確認されました。第2波では、Dromatics Systemsからの接続が確認され、一部環境ではVPN IPが割り当てられました。
Rapid7の観測では、影響を受けた複数顧客のうち、偽造Cookieを使った認証プローブは成功していたものの、完全なVPNセッション確立には至らなかった例もあります。一方で、VPN IP割り当てまで進んだ環境では、攻撃者が内部ネットワークへ到達できた可能性があります。
確認すべきログの特徴は以下です。
| ログ・兆候 | 内容 |
|---|---|
| GlobalProtect認証ログ | Cookie認証による不審な成功ログ |
| アカウント | ローカルadminアカウントへのCookie認証 |
| 送信元 | Vultr、Dromatics Systemsなどホスティング事業者のIP |
| 端末情報 | 不自然なホスト名やOS情報 |
| MACアドレス | 複数イベントで同一MACアドレスが使われていないか |
| VPN IP割り当て | Cookie認証後にVPN IPが割り当てられていないか |
| 内部通信 | VPN接続後にファイルサーバ、AD、管理系セグメントへアクセスしていないか |
なぜ危険なのか
CVE-2026-0257は、単なるログイン画面の不具合ではありません。
GlobalProtectは、社外から社内ネットワークへ入るための正規入口です。ここで認証回避が成立すると、攻撃者は端末をマルウェア感染させる前に、VPN経由で内部ネットワークへ入れる可能性があります。
VPN接続後に到達できる範囲が広い環境では、以下のような被害につながります。
| 想定影響 | 内容 |
|---|---|
| 内部ネットワーク侵入 | 社内サーバ、ファイル共有、管理系システムへ到達 |
| 認証情報窃取 | AD、ファイルサーバ、管理端末から認証情報を収集 |
| 横展開 | RDP、SMB、WinRM、VPN経由で他端末へ移動 |
| ランサムウェア前段階 | ファイルサーバ探索、バックアップ確認、EDR回避 |
| 情報漏えい | 内部共有ファイルや業務システムからデータ取得 |
| 監視回避 | 正規VPN接続に見えるため検知が遅れる可能性 |
VPNのログイン成功は通常業務でも発生するため、単純な成功ログだけでは異常と判断しづらい点も問題です。Cookie認証、送信元IP、アカウント、端末情報、VPN IP割り当て、内部通信を組み合わせて確認する必要があります。
すぐに実施すべき対応
Step 1:影響対象のPAN-OS・Prisma Accessを確認する
まず、自社でPalo Alto NetworksのGlobalProtectを利用しているか確認してください。
確認対象は、本社、支社、海外拠点、グループ会社、M&Aで引き継いだ環境、委託先が管理するVPN環境です。
| 確認対象 | 内容 |
|---|---|
| PA-Series | GlobalProtect Portal/Gatewayの有無 |
| VM-Series | クラウド上のGlobalProtect構成 |
| Prisma Access | 対象バージョンと更新状況 |
| 海外拠点 | 独自に導入したGlobalProtectの有無 |
| 検証環境 | インターネット公開されたままのVPN検証機 |
| DR環境 | 普段使わないバックアップVPN環境 |
Step 2:修正版へ更新する
影響バージョンを利用している場合は、Palo Alto Networksが案内する修正版へ更新してください。
Palo Alto Networksは、修正版適用によりAuthentication Override Cookieがより安全な方式で再生成されると説明しています。そのため、アップグレード後、GlobalProtectユーザーは有効なCookieを持っていても一度再認証が必要になります。これは一度限りの要件であり、再認証後は通常どおりCookieの有効性が機能します。
更新時には以下を確認してください。
| 項目 | 内容 |
|---|---|
| HA構成 | Active/PassiveまたはActive/Activeの更新手順 |
| GP利用者影響 | 再認証が必要になることを事前周知 |
| 証明書 | Authentication Override Cookie用証明書の扱い |
| ロールバック | 更新失敗時の復旧手順 |
| ログ保全 | 更新前に疑わしいログを保全 |
| Prisma Access | ベンダー側アップグレードスケジュール確認 |
Step 3:Authentication Overrideを無効化する
すぐに更新できない場合、Palo Alto NetworksはAuthentication Overrideを無効化することを緩和策として示しています。
GlobalProtect PortalおよびGatewayの設定で、Authentication Override Cookieを生成・受け入れるオプションを無効化してください。
| 場所 | 確認内容 |
|---|---|
| GlobalProtect Portal | Generate cookie / Accept cookie for authentication overrideが有効か |
| GlobalProtect Gateway | Accept cookie for authentication overrideが有効か |
| ユーザー影響 | 再認証頻度が増える可能性 |
| 運用影響 | 利便性低下とセキュリティリスクを比較 |
Authentication Overrideは利便性のための機能です。攻撃が観測されている状況では、不要であれば無効化を優先してください。
Step 4:専用証明書を利用する
Authentication Overrideを利用し続ける必要がある場合は、Cookie専用の証明書を生成し、他の機能やユーザーと共有しないようにしてください。
Rapid7は、影響構成ではAuthentication Override Cookieの暗号化・復号に使う証明書が他の機能と再利用されていることが問題になると説明しています。
| 確認項目 | 内容 |
|---|---|
| 専用証明書 | Authentication Override Cookie専用か |
| 証明書共有 | Portal/Gateway HTTPS証明書と共有していないか |
| 秘密鍵管理 | 秘密鍵の保管・アクセス権限 |
| 有効期限 | 証明書更新時の運用手順 |
| バックアップ | 古い脆弱構成を復元しないか |
Step 5:GlobalProtectログを確認する
すでに悪用されていないか確認してください。
Rapid7が観測したように、Cookie認証によるローカルadminアカウントへのログイン、同一MACアドレス、不審なホスティング事業者からのアクセス、VPN IP割り当てを重点的に見ます。
確認対象は以下です。
| ログ | 見るべき内容 |
|---|---|
| GlobalProtect認証ログ | Cookie認証による成功 |
| gateway-auth | 不審なlogin成功 |
| ユーザー名 | adminやローカルアカウントの利用 |
| 送信元IP | Vultr、Dromatics Systems、未知のVPS |
| 端末名 | DESKTOP-GP01など不自然なホスト名 |
| OS情報 | Linux、Windowsなど通常と異なる端末 |
| MACアドレス | 複数イベントで同じMACが使われていないか |
| VPN割り当て | 認証後にIPが付与されていないか |
Step 6:VPN接続後の内部アクセスを確認する
VPN認証が成功していた場合、VPNログだけで調査を終えてはいけません。
攻撃者がVPN IPを取得した後、内部ネットワークへアクセスしていないか確認してください。
| 確認対象 | 内容 |
|---|---|
| DHCP/VPN IPログ | 攻撃者に割り当てられたIP |
| FWログ | VPNセグメントから内部サーバへの通信 |
| ADログ | 不審なKerberos、NTLM、LDAPアクセス |
| ファイルサーバ | 大量ファイル閲覧、SMBアクセス |
| RDP/WinRM | 管理系ポートへの接続 |
| EDR | VPN接続後の横展開ツール実行 |
| DNS | 内部ドメイン探索、管理系ホスト探索 |
Rapid7は、観測した事例で横展開成功の兆候は確認していないとしていますが、VPN IP割り当てまで進んだ環境では、内部アクセスの調査が必要です。
情報システム部門が確認すべきポイント
GlobalProtectをインターネット公開している前提で監視する
VPNは外部公開が前提になりやすいサービスです。攻撃者は公開されているVPN機器を継続的にスキャンし、脆弱性や設定不備を探します。
今回のCVE-2026-0257は、Authentication Override Cookieが有効な特定構成が問題になりますが、過去にはPAN-OSのUser-ID Authentication Portalや管理UI、GlobalProtect関連機能を狙う攻撃も確認されています。
GlobalProtect環境では、以下を継続的に確認してください。
| 項目 | 内容 |
|---|---|
| 公開範囲 | 不要なポータル・ゲートウェイが公開されていないか |
| 管理UI | インターネットから管理UIへ到達できないか |
| MFA | すべてのリモートアクセスにMFAを強制 |
| ローカルアカウント | adminなどのローカル認証を最小化 |
| 地域制限 | 業務上不要な国・地域からの接続制限 |
| ログ監視 | 成功ログも含めた異常検知 |
| 証明書管理 | Cookie・Portal・Gateway証明書の用途分離 |
VPN後のネットワーク分離を確認する
VPN接続後に社内全体へ到達できる構成は危険です。
攻撃者がVPNを突破した場合でも、影響範囲を限定できるように、接続元グループごとにアクセス先を制限してください。
| ユーザー種別 | 推奨される制御 |
|---|---|
| 一般ユーザー | 業務アプリと必要なファイル共有のみ |
| 開発者 | 開発環境・Git・CI/CDに限定 |
| 管理者 | 踏み台経由、MFA、操作ログ取得 |
| 委託先 | 作業時間・接続元・対象システムを限定 |
| 海外拠点 | 拠点間で必要な通信のみ許可 |
VPN機器の脆弱性対応では、パッチ適用だけでなく、VPN突破後にどこまで到達できるかを確認することが重要です。
今後確認すべきこと
CVE-2026-0257は、実際に悪用が確認され、CISAのKnown Exploited Vulnerabilities Catalogにも追加されています。
今後は、攻撃手法の再現コードや検証スクリプトが広がる可能性があります。特に、公開GlobalProtectを持つ組織では、スキャンや認証プローブが増える可能性があります。
確認すべき点は以下です。
| 確認点 | 理由 |
|---|---|
| 修正版適用状況 | 影響バージョンが残っていないか |
| Authentication Override設定 | 無効化または専用証明書化されているか |
| GlobalProtectログ | 5月17日以降のCookie認証成功を確認 |
| VPN割り当て | 不審なVPN IP割り当てがないか |
| 内部アクセス | VPN経由の横展開がないか |
| 旧バックアップ | 脆弱な設定を復元しないか |
| 関連脆弱性 | CVE-2026-0300やCVE-2026-0265などPAN-OS関連脆弱性も確認 |








