Packet Pilot X (Twitter)
2026-05-30

PAN-OS GlobalProtect 認証バイパス (CVE-2026-0257) が悪用中

PAN-OSとPrisma Accessに影響を与える中程度の深刻度のセキュリティ脆弱性CVE-2026-0257が、実際に悪用されていることが報告されています。この脆弱性は、攻撃者がVPN接続を確立するために認証をバイパスできるもので、特にGlobalProtectポータルやゲートウェイが設定されているファイアウォールに影響を及ぼします。Palo Alto Networksは、未修正のPAN-OSデバイスに対する限られた悪用の試みが確認されており、早期の対策が求められています。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

7.0 /10

予想外またはユニーク度

6.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.5 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10

主なポイント

  • CVE-2026-0257は、Palo Alto NetworksのPAN-OSにおける認証バイパスの脆弱性です。
  • この脆弱性は、攻撃者が不正なVPN接続を確立することを可能にします。

社会的影響

  • ! この脆弱性の悪用により、企業の内部ネットワークへの不正アクセスが可能となり、情報漏洩のリスクが高まります。
  • ! 特に、VPNを利用している企業にとっては、セキュリティの脅威が増大することになります。

編集長の意見

CVE-2026-0257の脆弱性は、企業のネットワークセキュリティに対する重大な脅威を示しています。特に、VPN接続を利用する企業においては、攻撃者が内部ネットワークにアクセスできる可能性があるため、迅速な対応が求められます。この脆弱性は、認証バイパスを利用して不正な接続を確立するものであり、特に認証オーバーライド機能が有効な場合に影響が大きくなります。企業は、未修正のデバイスを放置することができず、早急にパッチを適用する必要があります。また、認証オーバーライド機能を無効にするか、新しい証明書を生成することが推奨されています。今後、同様の脆弱性が発見される可能性もあるため、企業は常に最新のセキュリティ情報を把握し、適切な対策を講じることが重要です。特に、VPNを利用する企業は、セキュリティポリシーを見直し、従業員への教育を強化することが求められます。

解説

PAN‑OS/Prisma AccessのGlobalProtect認証バイパス(CVE‑2026‑0257)が現実悪用—VPN経由の静かな侵入を今すぐ止めます

今日の深掘りポイント

  • 「認証そのもの」を迂回するタイプの欠陥で、マルウェア投下なしに正規VPNとして内側に入られることが最大の脅威です。
  • 影響は構成依存で、GlobalProtectの認証オーバーライド(Cookie)機能が有効な環境で爆発半径が大きくなります。
  • 侵害の可視化はIdP(SAML/OIDC/RADIUS)とVPNログの相関不整合が鍵で、MFAイベントが存在しない「成功VPN接続」を洗い出すのが実践的です。
  • 緊急の緩和は「パッチ適用」「認証オーバーライド無効化/鍵・証明書ローテーション」「既存VPNセッションの強制切断」「ポータル露出の一時制限」です。
  • 近年続く境界装置狙いの潮流と整合し、国家支援型を含む上位プレイヤーの関心領域に重なりますが、現時点の悪用は限定的との報道で過度な断定は避けるべきです。

はじめに

再び「境界」が狙われています。Palo Alto NetworksのPAN‑OS/Prisma Accessに影響するGlobalProtectの認証バイパス脆弱性(CVE‑2026‑0257)が実際に悪用されていると報じられています。外向けアプライアンスの脆弱性としては深刻度の数値以上に、運用上の重大度が高いのが認証バイパスの怖さです。攻撃者はファイアウォール上でコード実行をせずとも、正規ユーザーに見せかけて社内ネットワークに「静かに」入ってこられるからです。報道では悪用は限定的とされていますが、境界装置が一度抜かれると横展開やデータ流出に直結するため、対処のスピードが勝負になります。

深掘り詳細

事実関係(確認できていること)

  • CVE‑2026‑0257はPAN‑OSおよびPrisma AccessのGlobalProtectポータル/ゲートウェイに関連する認証バイパスの脆弱性です。攻撃者は不正なVPN接続を確立できる可能性があります。報道ではGlobalProtectの認証オーバーライド(Cookie)機能が有効な場合に影響が顕在化するとされています。出典は以下です。The Hacker Newsの報道です。
  • ベンダーは未修正デバイスに対する限定的な悪用を認識しているとされ、早期対処が求められています。同報道では、観測ベンダーによる悪用確認開始日が2026年5月17日頃と伝えられています。出典は同報道です。
  • 暫定対策として、パッチ適用に加え、認証オーバーライド機能の無効化や関連証明書の再生成が推奨されています。出典は同報道です。

本稿は上記公開情報に基づく整理で、最終的な影響範囲や恒久対処はベンダーの最新アドバイザリの指示に従うべきです。

インサイト(なぜ「中程度」に見えて運用重大度が高いのか)

  • 認証を飛び越える脆弱性は、エンドポイントに不審プロセスを残さずに「正規VPNセッション」を得る点が厄介です。検知の焦点はマルウェア挙動ではなく「誰が、どこから、どうやって入ったか」というアイデンティティの整合性に移ります。IdPにMFAイベントがないのにVPN成功がある、といった相関不整合の検出が強力です。
  • 爆発半径は構成に大きく依存します。GlobalProtect接続後のセキュリティポリシーが広い環境では、ドメインコントローラーや管理ネットへの到達が容易になります。反対に、接続直後の到達先を制限し、端末健全性(HIP)に基づく段階的開放をしている環境では横展開の難易度が上がります。数値上の深刻度が「中」に見えても、運用設計次第で実害の振れ幅が極端に広がる点を直視すべきです。
  • 認証オーバーライドCookieは利便性のための機能ですが、偽造・再利用の余地があれば、IdPの監査線から外れた「見えない入場券」になり得ます。Cookie暗号鍵・証明書のローテーションは、過去に配布済みのトークン無効化という意味で実効性が高い対策になります。
  • SOC運用の観点では、VPN成功=安全という思考停止を避け、VPNを「社内への入場ゲート」ではなく「要監査のトンネル」として扱う姿勢が重要です。接続先端末の資産台帳突合、端末姿勢の評価、初期滞在時間内の振る舞い制限といったコントロールの有無が、被害の深浅を分けます。

脅威シナリオと影響

以下は公開情報と一般的な攻撃手口に基づく仮説シナリオです。個別環境では差異がある前提で、ハンティングやテーブルトップ演習の素材として活用してください。

  • シナリオA:静かな初期侵入とAD乗っ取り

    • 入口: 脆弱なGlobalProtectに対するリクエストで認証を回避し、VPNセッションを獲得します(ATT&CK: Exploit Public-Facing Application T1190)。
    • 内部偵察: ドメイン参加ホストや開放サービスを探索します(T1018 Remote System Discovery、T1046 Network Service Discovery、T1087 Account Discovery)。
    • 資格情報奪取: 侵入先ジャンプホストでの資格情報ダンピングやKerberoastingを試みます(T1003 OS Credential Dumping、T1558.003 Kerberoasting)。
    • 権限昇格・永続化: ADに管理者アカウントを作成・権限操作を行います(T1136 Create Account、T1098 Account Manipulation)。
    • データ流出: VPNトンネル経由で外部へ送出します(T1041 Exfiltration Over C2 Channel、C2はT1071 Application Layer Protocol)。

  • シナリオB:MFAの外側での横展開

    • 入口: 認証オーバーライドCookieを悪用してMFAを経由せずにログインした体裁を取ります(T1190に紐づく手口、検知視点ではT1078 Valid Accountsに擬態)。
    • 横展開: RDP/SMB/WinRMなどの正規プロトコルで移動し、EDRや監査の死角を狙います(T1021 Remote Services)。
    • 防御回避: ログの消去・EDR無効化を試みます(T1070 Indicator Removal、T1562 Impair Defenses)。

  • シナリオC:サプライヤー経由の二次侵入

    • 入口: MSPや委託先のGlobalProtectを踏み台に一次侵入し、共有VPN・ジャンプサーバー経由で一次企業に到達します(T1190、T1078)。
    • 影響: チケットシステム、資産管理、ビルド環境など横断的にアクセスされ、広域なサプライチェーン影響が生じます。

影響評価としては、装置そのものの破壊ではなく「静かな恒常的アクセス権」の獲得が主眼で、検知の遅延が被害深刻化に直結します。特に、VPN接続直後に到達可能なセグメントのクリティカル度と、IdP連携・MFA実装の現実運用(例:一部バイパス例外)がリスクを左右します。

セキュリティ担当者のアクション

優先順位をつけ、時間軸で実行することを推奨します。

  • 24時間以内(止血)

    • 影響資産の特定と露出抑制を行います。外向けに公開されたGlobalProtectポータル/ゲートウェイの棚卸し、管理プレーンの到達制御(信頼IP制限、地理制限の一時適用)を実施します。
    • ベンダーの修正済みソフトウェアへ即時アップデートを行います。適用是非を迷う時間の方がリスクになります。
    • GlobalProtectの認証オーバーライド(Cookie)機能を無効化し、関連の暗号鍵・証明書をローテーションします。既存セッションを強制切断し、新しいポリシーを強制反映します。
    • 監査のキックスタートとして、2026年5月17日以降のVPN成功イベントを抽出し、IdP側の認証成功・MFAイベントと突合します。相関不能な成功接続、異常な地理・ASN、勤務時間外の恒常接続を優先調査します。

  • 72時間以内(可視化とハンティング)

    • GlobalProtect関連ログ(ポータル/ゲートウェイ、システム、トラフィック、HIP)を一括保全し、SIEMに取り込みます。特に「認証方式」「クライアントOS/バージョン」「接続元グローバルIP」「ユーザー名の欠落や汎用名(例:pre-logon)」などのフィールドに注目します。
    • Prisma Accessを併用している場合、テナント別・ロケーション別のユーザーセッションとIdPログの相関を行い、ゼロトラストポリシーの例外(Any許可、信頼済みデバイスの誤分類)を洗い出します。
    • 内部での横展開兆候(新規管理共有アクセス、DCへの認証失敗バースト、RDP/SMBの異常比率、EDR停止イベント、ログクリア)を横断的に探索します。

  • 1〜2週間(恒久対策の設計)

    • 接続直後のポリシー最小化を徹底します。初期セッションは限定セグメントのみに到達可、端末健全性(パッチレベル・EDR稼働・ディスク暗号化)に応じて段階的に権限昇格するモデルへ移行します。
    • VPNの「人と端末」の連帯責任を明確化します。ユーザーIDだけでなく、端末ID・証明書の強制と相関監査を実装します。
    • SIEMに「IdP×VPN相関ダッシュボード」を常設し、MFA未発火のVPN成功、Cookie/トークン経由ログイン、未知端末の接続を自動検知するユースケースを定義します。
    • ベンダー推奨のハードニング(不要ポータルの閉鎖、管理用インターフェースの分離、脆弱化しやすい互換設定の排除)を点検します。

  • 方針・演習(継続)

    • 「VPN入口を突破された前提」のテーブルトップ演習を実施し、AD隔離、証跡保全、資格情報強制ローテーション、ゼロトラスト強制モード切替までの手順を磨きます。
    • サプライヤーのリモートアクセス方針と監査証跡要件を更新し、共有アカウントや恒常VPNの是正を進めます。

最後に、今回の事案は「装置の完全乗っ取り」よりも「正規に見える通路の不正使用」が核です。検知・対応はネットワークだけでなく、アイデンティティ、端末、ログ相関の三位一体で臨むことが肝心です。緊急性が高く、現場で実装できる対策も多い領域です。迷わず早めに手を打つことを強く勧めます。

参考情報

  • The Hacker News: PAN‑OS GlobalProtect Authentication Bypass (CVE‑2026‑0257) actively exploited(報道): https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html

背景情報

  • i CVE-2026-0257は、Palo Alto NetworksのPAN-OSおよびPrisma Accessに影響を与える脆弱性で、CVSSスコアは7.8です。この脆弱性により、攻撃者は認証をバイパスし、VPN接続を不正に確立することが可能になります。
  • i 特に、GlobalProtectポータルやゲートウェイが設定されているファイアウォールにおいて、認証オーバーライドクッキーが有効な場合に影響を受けます。
Packet News 一覧へ戻る