Palo Alto Networks は、同社の PAN-OS GlobalProtect VPN に存在する認証バイパスの脆弱性「CVE-2026-0257」が、企業ネットワークへの不正侵入を狙った実攻撃に悪用されていることを確認した。セキュリティ企業 Rapid7 が複数の顧客環境での被害を報告しており、CISA もこの脆弱性を Known Exploited Vulnerabilities(KEV)カタログに登録、連邦機関に 2026年6月1日までの対処を義務付けた。

脆弱性の概要

CVE-2026-0257 は、PAN-OS の GlobalProtect ポータルおよびゲートウェイに存在する認証バイパスの脆弱性だ。悪用に成功した攻撃者は、正規の認証情報なしに VPN 接続を確立し、内部ネットワークへのアクセスを得ることができる。

Palo Alto Networks は今月初めにこの脆弱性を修正済みのパッチをリリースしていたが、当初は「Medium(中程度)」評価だった。しかし実攻撃が確認されたことを受け、同社は先週末に評価を「High(高)」に引き上げ、アドバイザリを更新した。

技術的な仕組み——「署名検証なし」が致命的

この脆弱性の根本原因は、PAN-OS が「認証オーバーライドクッキー(Authentication Override Cookie)」を処理する方式にある。

GlobalProtect VPN デバイスは、認証オーバーライドクッキーを設定済みの秘密鍵で復号し、その内容を署名検証なしに信頼する。ここに致命的な設計上の問題がある。

もし HTTPS サービスと認証オーバーライドクッキーで同一の証明書を使い回している場合、攻撃者は HTTPS セッションを通じて対応する公開鍵を入手できる。そしてその公開鍵を使って任意ユーザーの偽造クッキーを生成し、有効な認証情報なしに認証を突破できてしまう。

Rapid7 はこの手順を実証する PoC(概念実証コード)を開発し、未パッチの GlobalProtect ゲートウェイへの認証に実際に成功している。

攻撃の実態——5月17日から継続的に悪用

Rapid7 の調査では、以下の経緯で攻撃が展開されていた:

  • 5月17日:最初の悪用を観測
  • 5月18日:Vultr がホストするインフラからの攻撃を確認
  • 5月21日:Dromatics Systems を起点とする第2波を検知
  • 5月29日:CISA の KEV(Known Exploited Vulnerabilities)カタログに登録

攻撃者は偽造した認証オーバーライドクッキーを使い、ローカル管理者アカウントへの認証を試みた。多くのケースで偽造クッキーはデバイスに受け入れられたものの、完全な VPN セッション確立には至らなかったとされている。Rapid7 は現時点で、侵害後の内部への横展開(ラテラルムーブメント)は観測していないと報告している。

影響を受ける構成

以下の条件を両方満たす環境が脆弱性に該当する:

  • GlobalProtect の「認証オーバーライドクッキー」機能が有効化されている
  • HTTPS サービスと認証オーバーライドクッキーで同じ証明書を使い回している

対処方法

最優先:パッチ適用 Palo Alto Networks がリリース済みの最新セキュリティアップデートを早急に適用すること。

暫定緩和策(即時パッチ適用が困難な場合)

  • 認証オーバーライド機能を無効化する
  • または、認証オーバーライドクッキー専用の証明書を別途用意し、HTTPS サービスとの証明書共用をやめる

日本のエンジニア・IT管理者が今すぐやること

1. GlobalProtect の使用有無を棚卸しする 社内・クラウド双方の VPN ゲートウェイ構成を確認する。特に認証オーバーライドクッキーの有効/無効を即座に確認すること。

2. 証明書の共用状況を確認する HTTPS サービスと認証オーバーライドクッキーで同じ証明書を使っていれば最高リスク。パッチ適用まで認証オーバーライドを無効化する判断も選択肢に入れる。

3. パッチ適用を今週中に完了させる CISA の KEV 登録は「政府も赤信号を出した」サインだ。「近日中に」ではなく「今日中に計画を立て今週中に完了する」フェーズ。

4. 5月17日以降のログを遡って確認する GlobalProtect ゲートウェイへの認証ログを精査し、不審なアクセスがないか確認する。横展開は観測されていないとはいえ、被害の有無を自分の目で確認することが重要だ。

筆者の見解

今回の脆弱性を見て改めて感じるのは、VPN というアーキテクチャが内包する「信頼モデルの脆さ」だ。

「認証オーバーライドクッキー」という仕組み自体、利便性のために認証を省略できるという設計であり、その省略の仕組みに署名検証がなかった。VPN には「境界を越えたら信頼される」という旧来のネットワーク境界モデルが色濃く残っており、こういった設計上の妥協が積み重なるほど、攻撃者が突けるポイントも増える。

Palo Alto Networks 自身はゼロトラスト推進を強く訴えてきた企業でもある。その製品に「署名検証なしのクッキー信頼」という設計が残っていたことは、率直に言えばもったいない。こういったところに手を抜かないことがセキュリティベンダーとしての信頼につながるはずで、同社にはそれができる実力があるだけに、今後の製品設計に期待したい。

ただし、いまは「VPN 批判」より「パッチを当てる」が正解だ。アーキテクチャへの根本的な議論は、緊急対応が終わった後で腰を据えてやること。まずは今日の脅威から社内ネットワークを守ることが最優先だ。

出典: この記事は Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。