Palo Alto Networks は2026年5月7日、PAN-OS のユーザーID認証ポータル(Captive Portal)に存在するゼロデイ脆弱性 CVE-2026-0300 が、国家支援とみられる脅威アクターによって約1ヶ月にわたって悪用されていると警告した。インターネットに公開されたPA-Series・VM-Seriesファイアウォールが対象であり、パッチはまだリリースされていない。
脆弱性の概要:認証不要でrootを奪取
CVE-2026-0300 はバッファオーバーフロー起因のリモートコード実行(RCE)脆弱性だ。攻撃者は認証なしにroot権限でコードを実行できる。CVSSスコアは「Critical」相当であり、インターネット側に公開されているCaptive Portalが有効なファイアウォールが攻撃対象になる。
Palo Alto Networks の脅威インテリジェンス部門 Unit 42 は攻撃クラスターを CL-STA-1132 と命名して追跡している。同社の報告によれば、攻撃の流れは次のとおりだ:
- 4月9日 — PAN-OSデバイスへの悪用試行開始(失敗)
- 約1週間後 — RCE 成功。シェルコードが注入される
- 侵害直後 — ログ消去工作(クラッシュカーネルメッセージ削除、nginx クラッシュログ削除、コアダンプファイル削除)を即座に実施
ログを素早く消去する動きは、攻撃者がインシデントレスポンスを熟知しており、痕跡を最小限に抑えることを最優先としていることを示している。
使用ツール:EarthWorm と ReverseSocks5
侵害後、攻撃者はオープンソースのネットワークトンネリングツール EarthWorm と ReverseSocks5 を展開した。
- EarthWorm:SOCKS v5 サーバーを構築し、制限されたネットワーク上で隠蔽された通信チャネルを確保する
- ReverseSocks5:ターゲットからコントローラーへのアウトバウンド接続を使ってNATやファイアウォールを回避する
EarthWorm はこれまで Volt Typhoon、APT41、CL-STA-0046、UAT-8337 など複数の中国語圏の脅威グループが使用してきた実績がある。今回の攻撃についても同様の国家支援グループとの関連が強く示唆されている。
被害規模:日本を含むアジアが最多
インターネット脅威監視機関 Shadowserver の調査では、インターネット上に公開された PAN-OS VM-Seriesファイアウォールが5,400台以上に上ることが確認されている。
地域 公開台数
アジア 2,466台(最多)
北米 1,998台
アジアが最多というデータは、日本企業にとって無関係な話では済まない。アジア向け分がすべて日本というわけではないが、Palo Alto Networks の国内シェアの高さを考慮すれば、日本国内にも相当数の対象ファイアウォールが存在すると考えるべきだ。
対応状況と推奨される緩和策
パッチは2026年5月13日(水)に初回リリース予定。それまでの間、Palo Alto Networks は次の緩和策を「強く」推奨している:
- Captive Portal(User-ID Authentication Portal)へのアクセスを信頼済みゾーンのみに制限する
- それが困難な場合は Captive Portalを無効化する
有効化状態の確認は管理画面の Device > User Identification > Authentication Portal Settings > Enable Authentication Portal から行える。
また、米国 CISA はこの脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦政府機関(FCEB)に対して5月9日(土)深夜までの対応を義務付けた。日本の官公庁・重要インフラ事業者も同様の対応が求められると考えるべきだろう。
実務への影響:IT管理者が今すぐ確認すべきこと
- Captive Portal の有効化確認(最優先) すべてのPA-Series・VM-SeriesファイアウォールでCaptive Portalの有効/無効を即座に確認する。インターネット側に公開されているものは今すぐ無効化またはアクセス制限を適用する。
2. 侵害インジケーターの確認 nginxクラッシュログ、カーネルクラッシュダンプ、認証ポータル周辺の異常なログエントリを確認する。ログが不自然に消えている場合は侵害を疑う。
3. パッチリリース後は即適用 5月13日のパッチリリース後は最優先で適用する。今回の脆弱性はPoCが出回る前から国家支援攻撃者が悪用している。一般公開後は追随する攻撃者が急増する可能性が高い。
4. VM-Seriesの公開状況を棚卸し クラウド上に展開しているVM-Series が不必要にインターネット側に公開されていないかを確認する。管理ポートをインターネットに直接公開している構成は論外だ。
筆者の見解
今回の攻撃でとりわけ目を引くのは、約1週間の試行錯誤の後に安定したRCEを成立させ、即座にログを消去したという手順の洗練さだ。これは「当たって砕けろ」式のスキャン攻撃ではなく、特定のターゲットを長期的に研究した上での精緻な作戦行動だ。国家支援グループの関与という文脈も踏まえれば、これはランサムウェアギャングのような金銭目的の攻撃とは質が根本的に異なる。
EarthWorm や ReverseSocks5 といったツールが Volt Typhoon や APT41 との共通点を持つことも、偶然とは考えにくい。ファイアウォールはゼロトラストへの移行が議論される中でも依然として多くの組織のネットワーク境界の要であり、そこを足がかりにすれば内部ラテラルムーブメントへの道が開かれる。エッジデバイスが「ログと監視が手薄な領域」であることを攻撃者が熟知していることも、あらためて突きつけられた。
個人的にはVPNやCaptive Portalのような旧来の境界型認証モデルに対して懐疑的な立場だ。「インターネット側に公開しない」という当たり前の設計原則さえ守られていれば、今回のような被害は格段に抑えられたはずだ。ゼロトラストへの移行を「将来の課題」と先送りにしている組織は、今回の事案を機に優先度を見直してほしい。
Palo Alto Networks 自身も、パッチリリースまでの空白期間が3週間以上になる点については率直に言ってもっと早い対応を期待したい。ベンダーとしての信頼はパッチの品質だけでなく、リリースまでのスピードにも表れる。
出典: この記事は Palo Alto Networks firewall zero-day exploited for nearly a month の内容をもとに、筆者の見解を加えて独自に執筆したものです。