Palo Alto Networks PAN-OSの脆弱性が公開4日後にサイバー攻撃に悪用(CVE-2026-0257)|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月04日更新日時: 2026年06月04日

2026年5月13日、Palo Alto NetworksはPAN-OSのGlobalProtectポータルおよびゲートウェイにおける認証バイパス脆弱性（CVE-2026-0257）を公開し、修正済みバージョンとワークアラウンドを提供しました。

最大のリスクは、その発見がおそろしく早かった点です。公開からわずか4日後の5月17日、Rapid7はVultrのホスティングプロバイダーから複数の顧客環境にまたがる不正なCookie認証を観測し始め、5月21日には同一の脅威アクターによるサイバー攻撃の第二波がDromatics Systemsのホスティングから発射されました。

脆弱性は当初CVSS 7.8の「High（高）」として公開されましたが、実際の攻撃確認を受けてNISTは「Critical（重大）」に評価を引き上げ、CISAは5月29日にKEV（既知の悪用脆弱性）カタログへの追加と連邦機関への6月1日までの修正期限を命じました。

現時点で攻撃は継続中と見られており、認証オーバーライドCookieが有効な未パッチ環境には即時対応が求められます。本記事では脆弱性の技術的詳細・攻撃の実態・影響バージョン・修正手順・緩和策を解説します。

サマリー

CVE-2026-0257はPAN-OSのGlobalProtectポータル・ゲートウェイにおける認証バイパス。CWE-565（Cookieの検証・完全性確認の欠如）に分類。CVSS 7.8（初期）→ CISA KEV追加後にNISTがCritical評価に引き上げ
条件：「認証オーバーライドCookieが有効」かつ「特定の証明書構成が存在する」ファイアウォールが対象。Panorama・Cloud NGFWは影響なし
攻撃者は偽造Cookieを使ってFirewallに認証バイパスさせ、不正なVPN接続を確立して内部ネットワークへのアクセスを取得可能
2026年5月17日（公開4日後）から悪用開始。Rapid7は複数顧客環境で成功した悪用を確認。8/10の環境ではCookie認証は成功したが完全なVPNセッションは未確立、2/10でVPNのIPアサインが確認（ネットワーク侵入）。侵入後のラテラルムーブメントは現時点で未確認
同一の脅威アクター（Rapid7がMACアドレスの一致から特定）が2段階の攻撃波を実行
CISA 5月29日にKEVカタログ追加、連邦機関への6月1日期限を設定
修正済みバージョンへの更新、またはAuthentication Override機能の無効化が必要

1 脆弱性の技術的詳細—Cookieを信頼しすぎた設計の落とし穴
2 サイバー攻撃の悪用の実態——Rapid7が確認した2段階の攻撃波
3 「High」から「Critical」への評価変更——初期評価の低さが生んだ対応の遅延
4 影響を受けるバージョンと修正済みバージョン
5 緩和策—Authentication Override機能の確認と無効化
6 情報システム担当者が取るべき対応
7 FAQ
8 参考情報

脆弱性の技術的詳細—Cookieを信頼しすぎた設計の落とし穴

Palo Alto Networksの公式セキュリティアドバイザリによれば、CVE-2026-0257の根本原因はCWE-565「Cookieの検証・完全性確認なしの依存」です。

GlobalProtectにはリモートアクセスユーザーの再認証を省略する「認証オーバーライドCookie」機能があります。ポータルやゲートウェイは一度認証に成功したユーザーに対してCookieを発行し、次回接続時にそのCookieを提示することでパスワード再入力なしにVPN接続できる利便性を提供します。

問題は、PAN-OSがこれらのCookieを受け取る際に十分な検証と完全性確認を行っていなかった点にあります。攻撃者が正規ユーザーのCookieを偽造してFirewallに送信すると、Firewallはその偽造Cookieを正当なものとして受け入れ、セキュリティ制限をバイパスして不正なVPN接続を確立してしまいます。認証情報（ID・パスワード）を盗まなくとも、Cookieを偽造するだけで侵入できる設計上の欠陥です。

なお、この脆弱性が発現する条件は2つが揃った場合のみです。GlobalProtectポータルまたはゲートウェイの設定で「認証オーバーライドCookieの生成」または「認証オーバーライドCookieの受け入れ」が有効化されていること、かつ特定の証明書設定が存在することです。Panorama・Cloud NGFWは影響を受けません。Prisma Accessについては自動アップグレードがすでに実施されています。

サイバー攻撃の悪用の実態——Rapid7が確認した2段階の攻撃波

Rapid7の分析（Help Net Security・NetworkWorldの報道を通じて確認）によれば、攻撃は以下の2段階で展開されました。

第一波（5月17日〜）：VultrホスティングプロバイダーのIPアドレスから、偽造Cookieを使った認証プローブが複数顧客環境に送られました。Rapid7のMDR（マネージド検知・対応）サービスが監視する顧客で成功した悪用が確認されています。

第二波（5月21日〜）：同じ脅威アクターが今度はDromatics Systemsホスティングに移動して第二波を展開しました。Rapid7は両波で観測されたMACアドレスが同一だったことから「同一の脅威アクターによる攻撃」と高い確信で判断しています。

両波を通じた観測結果として、Rapid7がMDRで監視する10の影響を受けた顧客環境のうち8件では「Cookie認証は成功したが完全なVPNセッションは確立されなかった」状態、残り2件では「VPN IPアサインが確認されてネットワーク内部へのアクセスが付与された」状態が確認されています。いずれの環境でも侵入後のラテラルムーブメント（横断的な感染拡大）は現時点で観測されていませんが、「ネットワーク内部に足がかりを得た」事実は侵害の準備として深刻です。

Rapid7は攻撃者の侵入経路として使われたIPアドレス等のIoC（侵害の痕跡）を公表しており、防御担当者向けに環境の脆弱性を確認するPoC（概念実証）スクリプトも公開しています。

「High」から「Critical」への評価変更——初期評価の低さが生んだ対応の遅延

今回の事案が示す重要な教訓は、当初のCVSSスコア7.8という「High（高）」評価がパッチ適用の優先度判断に誤った安心感を与えた可能性です。

Palo Alto Networksは5月13日の公開時、本脆弱性を「Medium（中）」または「High（高）」として開示しており、その時点では「野放し悪用の証拠なし」と説明していました。しかしRapid7が5月17日から悪用を観測し、CyberScoopが「Palo Alto Networksは最初この欠陥をレーダー下に飛ばしていた」と報じたように、初期評価の低さが対応の遅れを生みました。

5月29日の更新でPalo Alto Networksは「限定的な悪用の試みが未パッチデバイスで確認された」と認め、NISTが評価をCriticalに引き上げ、CISAがKEVカタログに追加しました。NetworkWorldが指摘したとおり「一見軽微な脆弱性がいかに急速に緊急警告に変わるか」を示す典型事例です。「脆弱性の深刻度はCVSSスコアだけで判断できない」という現実を改めて示しています。

影響を受けるバージョンと修正済みバージョン

Palo Alto Networks公式アドバイザリによれば、影響を受けるバージョンと修正済みバージョンは以下のとおりです。

PAN-OS 12.1系は12.1.4-h6未満（修正済み：12.1.4-h6以上、または12.1.7以上）が対象です。PAN-OS 11.2系は11.2.4-h17未満、11.2.7-h14未満、11.2.10-h7未満、11.2.12未満が対象です。PAN-OS 11.1系は11.1.4-h33未満、11.1.6-h32未満、11.1.7-h6未満、11.1.10-h25未満、11.1.13-h5未満、11.1.15未満が対象です。PAN-OS 10.2系は10.2.7-h34未満、10.2.10-h36未満、10.2.13-h21未満、10.2.16-h7未満、10.2.18-h6未満が対象です。

Prisma Accessについては10.2.0系・11.2.0系が対象で、Palo Alto Networksによる自動アップグレードが実施されています。Panorama・Cloud NGFWは影響を受けません。

緩和策—Authentication Override機能の確認と無効化

修正済みバージョンへの即時アップデートが最善策ですが、適用が困難な場合は以下の緩和策が有効です。

自環境が影響を受けるか確認する手順（ポータル）：管理インターフェースで「ネットワーク > GlobalProtect > ポータル」に移動し、ポータル名をクリックして「エージェント」タブの「エージェント設定プロファイル」から「認証」タブに進みます。「認証オーバーライド用のCookieを生成する」または「認証オーバーライド用のCookieを受け入れる」のいずれかが有効になっていれば対象環境です。ゲートウェイも同様に「ネットワーク > GlobalProtect > ゲートウェイ」から確認してください。

緩和策の実施：上記の「認証オーバーライド用のCookieを生成する」および「認証オーバーライド用のCookieを受け入れる」チェックボックスを両方オフにすることで、この攻撃経路を排除できます。ただしこの設定を無効化すると、リモートユーザーは毎回完全な認証を求められることになります。

Threat Preventionサブスクリプションを持つ顧客は脅威ID 510014（コンテンツバージョン9100-10044以降）を有効にすることで攻撃をブロックできます。

情報システム担当者が取るべき対応

即時アクションとして、まず現在のPAN-OSバージョンを確認し、上記の影響バージョン一覧と照合してください。影響を受けるバージョンを使用していて、かつGlobalProtectポータルまたはゲートウェイが有効な場合は、認証オーバーライドCookieの設定を上記手順で確認し、有効であれば直ちに無効化するかパッチを適用してください。

ログの調査として、Rapid7のIoCに含まれるIPアドレス（Vultr・Dromatics Systemsのホスティングから発信）とのCookie認証試行や、通常とは異なるVPN接続をファイアウォールのログで確認することを推奨します。Rapid7が公開した脆弱性確認用PoCスクリプトも防御チームによる確認に活用できます。

ゼロトラストの観点から、NetworkWorldが引用したグローバルセキュリティ専門家のコメント「ゼロトラストは境界をなくしたのではなく、再配布した」が示すとおり、VPN経由でネットワーク内部への足がかりを得られると、その後の侵害拡大リスクが高まります。VPN接続後の通信に対しても継続的な認証・最小権限の適用を徹底してください。

FAQ

Q. GlobalProtectを使用していますが認証オーバーライドCookieが有効かどうか分かりません。どう確認しますか？ A. 記事本文に記載した手順でPAN-OS管理コンソールから確認できます。「ネットワーク > GlobalProtect > ポータル（またはゲートウェイ）> エージェント > 認証」タブに「認証オーバーライド用のCookieを生成する」と「認証オーバーライド用のCookieを受け入れる」というチェックボックスがあります。どちらか一方でも有効になっていれば対象環境です。

Q. CISAのKEV期限（6月1日）は日本の組織にも適用されますか？ A. CISAのKEVカタログの修正期限は米国連邦文民行政機関（FCEB）向けの義務的期限です。日本の民間企業・政府機関に直接的な法的義務は発生しません。ただしKEV追加はCISAが実際の攻撃を確認した事実を意味するため、国内企業にとっても「即時対応が必要な脆弱性」という実務的な基準になります。

Q. Rapid7がラテラルムーブメント未観測と言っているのであれば、それほど深刻ではないのですか？ A. ラテラルムーブメントが確認されていないのは「Rapid7が観測した範囲」での話であり、他の攻撃者による侵害を否定するものではありません。また、VPNアクセスを得た攻撃者が内部偵察を行った後に別のタイミングで活動を開始する「スリーパー」型の侵害も考えられます。「横断移動の証拠がない」ことを安全の根拠にするのは危険であり、パッチ適用・ログ調査・アクセス制御の見直しを優先してください。

Q. 当初Mediumとして公開された脆弱性をどう優先付けすればよいですか？ A. 今回の事案はCVSSスコアだけでは脆弱性の緊急度を判断できないことを改めて示しました。CVSSが示すのは技術的な深刻度の一側面であり、「攻撃の容易さ」「実際の悪用状況」「影響を受けるインフラの重要度」も重要な判断軸です。Palo Alto NetworksのGlobalProtectのようにインターネット接触面に置かれるコンポーネントの脆弱性は、スコアに関わらず早期に評価・対応することを推奨します。