Palo Alto Networksは、同社のPAN-OS GlobalProtect VPN製品に存在する認証バイパスの脆弱性(CVE-2026-0257)が、未知の攻撃者によって限定的に悪用されていることを明らかにしました。この問題は、攻撃者がVPN接続を確立することを可能にするもので、組織のネットワークセキュリティに深刻な影響を及ぼす可能性があります。
PAN-OS GlobalProtect VPNの認証バイパス脆弱性とは
今回確認された脆弱性は、CVE-2026-0257として識別されており、CVSSスコアは7.8と評価されています。この認証バイパスの欠陥は、PAN-OSソフトウェアのポータルおよびゲートウェイコンポーネントに影響を及ぼし、悪意のあるアクターがセキュリティ制御を回避してVPN接続を開始できる状態を生み出します。
Palo Alto Networksによると、このセキュリティ上の欠陥は既に「限定的な攻撃」で悪用されていることが観測されており、最初の活動は2026年5月17日に確認されました。現時点では、悪用行為の背後にいる攻撃者の身元は不明です。同社は、「現時点では、アクセス後の行動や横方向への移動は確認されていない」と述べており、実際にVPNセッションを確立したデバイスは、プローブされたデバイスのごく一部に過ぎないと報告しています。
米CISAによる緊急警告と組織への影響
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、先月下旬にCVE-2026-0257を「既知の悪用されている脆弱性(KEV)」カタログに追加しました。これにより、連邦政府の行政機関に対し、2026年6月1日までにこの脆弱性への対策を講じるよう指示が出されています。
この動きは、本脆弱性がもたらす潜在的なリスクの高さを示唆しています。認証バイパスの脆弱性は、攻撃者が正規の認証プロセスを経ずにシステムにアクセスできるため、不正アクセスや機密情報の漏洩、さらにはネットワーク全体への侵入の足がかりとなる可能性があります。
悪用活動の特定と推奨される対応策
Palo Alto Networksは、今回の悪用活動に関連する侵害の痕跡(IoC)を公開しています。これには、特定のIPアドレス(例:23.128.228[.]6、104.207.144[.]154など)、ホスト名(例:WINDOWS-LAPTOP-001、DESKTOP-GP01など)、およびMACアドレス(例:aa:bb:cc:dd:ee:ff、00:11:22:33:44:55など)が含まれます。
同社は顧客に対し、GlobalProtectのログを詳細に調査し、概念実証(PoC)エクスプロイトからのハードコードされたクライアント構成値(endpoint_os_version: Microsoft Windows 10 Pro 64-bit、source_user_info.domain: empty)に一致する「ゲートウェイ接続イベント」がないか確認するよう強く推奨しています。これにより、自身の環境で悪用が行われたかどうかを特定できる可能性があります。
対象となる組織は、速やかにPalo Alto Networksが提供するパッチや緩和策を適用し、公開されたIoCに基づいてネットワーク内の異常な活動を監視することが不可欠です。VPNはリモートアクセスにおいて重要な役割を担う一方で、サイバー攻撃の主要な標的となりやすいため、常に最新のセキュリティ対策を講じることが求められます。
サイバーセキュリティ業界における本脆弱性の位置付け
VPN製品は、リモートワークの普及に伴い、企業ネットワークへの安全なアクセスを提供する上で不可欠なインフラとなっています。しかし、その重要性ゆえに、VPN製品の脆弱性はサイバー攻撃者にとって魅力的な標的となりがちです。今回のPalo Alto NetworksのGlobalProtect VPNにおける認証バイパス脆弱性は、まさにその典型例と言えるでしょう。
CISAが迅速に警告を発し、連邦政府機関に緊急対応を促したことは、この種の脆弱性が国家レベルのセキュリティリスクに直結する可能性を示しています。組織は、このようなゼロデイに近い状態の脆弱性に対して、迅速な情報収集と対応計画を策定しておく必要があります。また、単一のセキュリティ製品に依存するのではなく、多層防御の概念に基づいた包括的なサイバーセキュリティ戦略を構築し、継続的な監視とアップデートを行うことが、現代の脅威環境において不可欠です。
まとめ
Palo Alto NetworksのGlobalProtect VPNにおける認証バイパス脆弱性(CVE-2026-0257)は、企業ネットワークへの不正アクセスのリスクを高める深刻な問題です。既に限定的な悪用が確認されていることから、対象製品を利用する組織は、速やかにログの監視と推奨される対策を講じることが不可欠です。今後もVPN製品を狙った攻撃は続くと予想され、継続的なセキュリティアップデートと監視体制の強化が求められます。
