VPNゲートウェイの脆弱性を悪用した攻撃により、パキスタンで企業データ侵害が発生
TL;DR
VPNゲートウェイの脆弱性を悪用した攻撃により、パキスタンで企業データ侵害が発生
Palo Alto Networksが衝撃的な発表を行いました。同社のPAN-OS GlobalProtect VPN技術が攻撃の標的となっています。CVE-2026-0257として追跡されている深刻な認証バイパスの脆弱性が、実際に悪用されていることが確認されました。CVSSスコアは7.8であり、後回しにできるような些細なバグではありません。これは「マスターキー」のようなものです。認証されていない攻撃者が、有効な資格情報を一つも必要とせずに、認証プロトコルをすり抜けて企業ネットワークに侵入しています。
この欠陥は、PAN-OSのポータルおよびゲートウェイコンポーネントの最も脆弱な部分を突いています。攻撃者は認証クッキーを偽造するだけで、ローカル管理者を含む誰にでもなりすますことが可能です。一度侵入してしまえば、ネットワークの支配権を実質的に掌握したも同然です。CISA(米サイバーセキュリティ・インフラストラクチャセキュリティ庁)をはじめとする主要なセキュリティ機関は、直ちにシステムにパッチを適用するよう緊急警告を発しています。
侵害のメカニズム
攻撃者はどのようにしてこれを行っているのでしょうか?その核心は、「認証オーバーライドクッキー」と「証明書の再利用」の間の不適切な連携にあります。HTTPSと認証の両方に同じ証明書を使用している環境では、システムが混乱します。その結果、クッキーの正当性チェックが停止し、偽造されたセッションを作成する方法を知っている者に対して、事実上レッドカーペットを敷くような状態になってしまいます。
Rapid7によると、これは単なる理論上の脅威ではなく、2026年5月17日に最初の悪用が観測されました。背後に誰がいるのかは現時点では不明ですが、その手口の精密さは、企業環境の突破を狙った標的型キャンペーンであることを示唆しています。

事態は急速に悪化しました。Palo Alto Networksは、パッチ未適用のデバイスが実際に侵害されていることを確認し、このバグの深刻度を「中」から「高」に引き上げました。もし貴社がGlobalProtectを利用しているなら、今すぐ作業を中断し、設定を監査する必要があります。
脆弱性の概要
| 特徴 | 詳細 |
|---|---|
| 脆弱性ID | CVE-2026-0257 |
| CVSSスコア | 7.8 (高) |
| 主要コンポーネント | PAN-OS GlobalProtect ポータル/ゲートウェイ |
| 悪用開始日 | 2026年5月17日より観測 |
| CISA KEVステータス | 2026年5月29日追加 |
緩和策:今すぐすべきこと
唯一の解決策はパッチの適用です。Palo Alto Networksは修正プログラムをリリースしており、これを最優先事項とする必要があります。レガシーな制約や複雑な変更管理プロセスにより直ちにパッチを適用できない場合は、直ちに認証オーバーライド設定を確認してください。
被害を最小限に抑えるためのチェックリストは以下の通りです:
- パッチ、パッチ、パッチ: 最新のPAN-OSアップデートをインストールしてください。次のメンテナンスウィンドウまで待ってはいけません。
- 設定の監査: GlobalProtectのゲートウェイとポータルの設定を確認してください。「認証オーバーライド」が有効になっていませんか?HTTPSと認証の両方に同じ証明書を再利用していませんか?もしそうなら、危険な状態です。
- ログの監視: VPNログを注意深く監視してください。異常な認証パターンや、通常のユーザー行動と一致しないセッションがないかを確認してください。
- 最新情報の把握: The Hacker Newsやベンダーの公式アドバイザリを注視し、新たな侵害の兆候がないか確認してください。
現時点では攻撃者がネットワーク内を横方向に移動(ラテラルムーブメント)している証拠はありませんが、それは気休めに過ぎません。ゲートウェイに対するローカル管理者権限を持つ攻撃者は、侵入に気づかれる前に甚大な被害をもたらす可能性があります。
CISAが2026年5月29日にこの脆弱性を「既知の悪用された脆弱性(KEV)」リストに追加したという事実は、その緊急性を物語っています。連邦機関が対応に追われる中、民間企業も同様の対応をとるべきです。VPNゲートウェイのようなエッジデバイスは、ビジネスの玄関口です。鍵をかけずに放置しておけば、誰かが侵入してきても驚くことではありません。
セキュリティチームは警戒を怠らないでください。このエクスプロイトは偽造クッキーに依存しているため、基盤となる検証プロセスが壊れていれば、標準的な多要素認証(MFA)では防げない可能性があります。特定の構成依存関係を厳格化することで、侵入者の道を塞ぎ、貴社のネットワークが次のニュースの見出しになることを防ぐことができます。