Palo Alto Networks、GlobalProtect VPNの脆弱性が悪用され緊急セキュリティパッチを公開

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2026年6月28日
4 分の読み物
Palo Alto Networks、GlobalProtect VPNの脆弱性が悪用され緊急セキュリティパッチを公開

TL;DR

• Palo Alto NetworksがCVE-2026-0257に対する緊急パッチをリリース。 • この脆弱性により、攻撃者がVPN認証プロトコルをバイパス可能。 • CISAが本件を「悪用が確認された脆弱性(KEV)」カタログに追加。 • 攻撃者が実際に本脆弱性を悪用中。 • 管理者はエンタープライズゲートウェイを保護するため、直ちにPAN-OSをアップデートする必要がある。

Palo Alto Networks、GlobalProtect VPNの脆弱性が悪用され緊急セキュリティパッチを公開

画像提供: The Hacker News

Palo Alto Networksは、深刻な認証バイパスの脆弱性(追跡番号:CVE-2026-0257)に対する緊急パッチを公開しました。この欠陥はPAN-OSソフトウェアのGlobalProtectポータルおよびゲートウェイコンポーネントに影響を及ぼすもので、放置できる問題ではありません。簡単に言えば、認証されていない攻撃者が標準的なログインプロトコルを回避し、不正なVPN接続を確立できてしまうというものです。これらのゲートウェイに依存する企業にとって、極めて重大なセキュリティ上の脅威となります。

事態は急速に悪化しました。当初は標準的な脆弱性報告でしたが、攻撃者が実際に悪用していることが確認されたため、優先度の高いインシデントへと引き上げられました。これを受け、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、本件を「悪用が確認された脆弱性(KEV)」カタログに正式に追加しました。まだパッチを適用していない場合は、直ちに対応する必要があります。

エクスプロイトの仕組み

問題の根本は、PAN-OSが認証オーバーライドクッキーを処理する方法にあります。GlobalProtectポータルやゲートウェイで、利便性向上のためにこのクッキーを受け入れる設定にしている場合、システムがセッションを適切に検証できていません。これは実質的に「ドアの鍵が開けっ放し」の状態です。特にCloud Authentication Service (CAS) が無効になっている環境では、システムが内部メカニズムに依存せざるを得ず、操作に対して無防備な状態となります。

技術的な仕組みは驚くほど単純です。特定の要求を作成することで、攻撃者は有効な資格情報なしで認証を完全に回避できます。実質的に正当なユーザーになりすますことが可能です。Rapid7の研究者は、2026年5月17日にこの活動を初めて確認しました。初期の調査では、VultrやDromatics Systemsなどのプロバイダーでホストされたインフラからのアクセスが確認されており、単なるランダムな不具合ではなく、露出したVPNゲートウェイを狙った組織的な攻撃であることが判明しています。

Palo Alto Networksは当初、リスクを中程度と評価していましたが、実際の悪用が確認されたため、CVSSv4スコアを7.8に引き上げました。これは「高」の深刻度評価であり、攻撃の容易さと、侵入後の被害の大きさを考慮したものです。

インフラは脆弱か?

すべてのPAN-OS環境が危険にさらされているわけではありません。この脆弱性は、ユーザーがセッションタイムアウトのたびに再ログインしなくて済むように設計された「認証オーバーライド」機能が有効になっているシステムを標的としています。

管理インターフェースで以下の点を確認してください:

  • NetworkタブからGlobalProtectを選択します。
  • GatewaysおよびAgent設定を確認します。
  • **「Accept cookie for authentication override(認証オーバーライド用のクッキーを受け入れる)」**のチェックボックスを確認します。
  • Cloud Authentication Service (CAS) が無効になっているか確認します。チェックが入っており、かつCASが無効であれば、攻撃を受ける可能性が高い状態です。

パッチ適用と緩和策

Palo Alto Networksは2026年5月13日にアドバイザリを公開し、同月末までに悪用が確認されました。唯一の根本的な解決策は、ベンダーが提供するパッチを適用することです。これはクッキーの生成と検証に関するロジックの欠陥であるため、アップデートによってセッション処理の方法が根本的に変更されます。

アクション 結果
セキュリティパッチの適用 認証バイパスロジックを修正
再認証 すべてのGlobalProtectユーザーに一度限りのログインを強制
Prisma Access 標準のメンテナンススケジュールで自動更新

パッチを適用すると、すべてのユーザーに対して一度限りの再認証が強制されます。手間はかかりますが、必要な措置です。パッチにより、システムはより安全な暗号化手法を使用して認証クッキーを再生成するようになり、既存の侵害された可能性のあるセッションを無効化します。

Prisma Accessを利用している場合、Palo Alto Networksが自動的に更新を処理するため、管理コンソールでメンテナンス通知を確認してください。

全体像

理論上のバグから実際に悪用される脆弱性への変化は、状況を一変させます。攻撃者は商用ホスティングプロバイダーを利用して攻撃を拡大しており、彼らが非常に積極的で十分なリソースを持っていることを示しています。

セキュリティチームは警戒を強める必要があります。異常な認証パターンや、不審なIP範囲からのVPN接続がないかログを確認してください。このエクスプロイトはログイン画面を回避するため、標準的な資格情報ベースのアラートが作動しない可能性があります。ログインイベントを伴わないVPNセッションの成功がないかを探すことが、決定的な証拠を見つける鍵となります。

The Hacker Newsが指摘するように、この危険性は、攻撃者がポータルを突破すると、実質的に「信頼されたユーザー」として振る舞える点にあります。彼らは内部ネットワークをスキャンし、横方向に移動し、誰にも気づかれることなくペイロードを配置することができます。

直ちにパッチを適用できない場合は、「認証オーバーライド用のクッキーを受け入れる」機能を無効にしてください。ユーザーからログイン頻度に関する不満が出るかもしれませんが、アップデートを適用するまでの間、ネットワークを保護するための小さな代償です。Palo Alto Networksのセキュリティアドバイザリポータルを注視してください。状況は流動的であり、今後さらなるガイダンスが提供される可能性があります。

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

関連ニュース

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

著者: Viktor Sokolov 2026年7月10日 4 分の読み物
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

著者: Marcus Chen 2026年7月9日 4 分の読み物
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

著者: Elena Voss 2026年7月8日 4 分の読み物
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

著者: James Okoro 2026年7月7日 4 分の読み物
common.read_full_article