GlobalProtect の脆弱性
Palo Alto Networks は先ごろ、CVE-2026-0257 に関する重大な警告を発表しました。この脆弱性は PAN-OS および Prisma Access のアーキテクチャに影響を与えます。具体的には、GlobalProtect ポータルおよびゲートウェイに存在する欠陥です。特定の設定条件下において、攻撃者は標準的な認証チェックを完全に回避できます。その結果、不正なアクターが企業の内部ネットワークへの不正な VPN 接続を確立できてしまいます。
アーキテクチャ上の深刻度
この脆弱性の CVSS スコアは現在 7.8 と評価されており、高い深刻度を示しています。多くの組織がこれらのアクセスポータルを活用し、内部ネットワークへのリモートアクセスを管理しています。そのため、悪用が成功した場合、本人確認の仕組みが完全に崩壊します。外部の侵入者は有効な認証情報を提示することなく、制限なしにネットワークへアクセスできるようになります。
侵害が成立する条件
幸い、このセキュリティリスクはすべての PAN-OS 環境に影響するわけではありません。リスクが顕在化するのは、非常に特定の環境条件が重なった場合に限られます。まず、ファイアウォールが GlobalProtect ポータルまたはゲートウェイを実際にホストしていることが必要です。次に、Cookie による再認証バイパス機能が有効になっている必要があります。さらに、特定の証明書設定が同時に使用されていることが条件となります。これらの設定が完全に重なり合ったときにのみ、認証メカニズムの脆弱性が露呈します。
悪用状況の観測データ
Palo Alto Networks は 2026年5月13日に最初のセキュリティアドバイザリを公開しました。その後、積極的な脅威インテリジェンスを受けて、5月29日にドキュメントが更新されました。同社は悪意ある攻撃者が未パッチの PAN-OS エンドポイントを積極的に標的にしていることを確認しています。これらの攻撃は、管理者が即座に緩和策を適用しなかった環境を特に狙ったものです。
Rapid7 による調査の知見
Rapid7 のセキュリティ研究者はその後、詳細なフォレンジック調査の結果を公開しました。同社はクライアントポートフォリオ内で複数の侵害されたエンドポイントを特定することに成功しています。過去の記録によると、最初の悪用の試みは 2026年5月17日に確認されました。さらに、5月21日には第2波の攻撃が開始されています。Rapid7 は両方の攻撃シーケンスを、単一の洗練された脅威アクターによるものと帰属しています。
内部ネットワークへの侵入
第2波の攻撃において、調査担当者は2件の異なるネットワーク侵害を記録しました。これらのケースでは、セキュリティアプライアンスが Cookie の検証直後にローカル VPN アドレスを割り当てました。その結果、侵入者はただちに内部ネットワークへのアクセス権を獲得しています。ただし、トンネルの確立後、侵害された環境内でそれ以上の悪意ある行動は観察されませんでした。
セキュリティ戦略上の含意
CVE-2026-0257 の真の危険性は、任意コード実行にあるわけではありません。最大の脅威は、GlobalProtect がネットワークエッジという重要な位置に存在している点にあります。これらのゲートウェイは企業インフラへの入口を守る役割を担っているため、高価値な標的となります。認証なしでの侵入は、内部のすべての資産のセキュリティを脅かすことになります。
エスカレーションの脅威
こうした状況から、Rapid7 は管理者に対して公式パッチを直ちに適用するよう強く促しています。この脆弱性は、リモート業務に継続的に依存している企業にとって特に深刻なリスクをもたらします。限られた侵入であっても、壊滅的なセキュリティインシデントへと急速に発展する可能性があります。攻撃者が永続的なアクセスを確立したり、機密ファイルリポジトリを侵害したりした場合、このリスクはさらに高まります。
推奨される暫定的な緩和策
Palo Alto Networks はパッチ適用前の暫定的な防御策として、即座の対応を推奨しています。まず、管理者は Cookie による再認証バイパス機能を完全に無効化できます。あるいは、この機能専用の独自証明書を新たに生成する方法もあります。これらの対応を取ることで、アップデートの適用を待つ間も、危険な設定状態を効果的に解消することができます。
業界全体のセキュリティ動向
このインシデントは、企業のリモートアクセスソリューションを標的とする業界全体の傾向と一致しています。ほぼ同時期に、Arctic Wolf は FortiClient エンドポイント管理サーバにおける CVE-2026-35616 の継続的な悪用を記録しています。この脆弱性を通じて、脅威アクターはユーザー認証情報を窃取する危険な EKZ Infostealer マルウェアの配布に成功しています。
防御態勢の確立に向けて
セキュリティチームがこの一連の出来事から得るべき重要な教訓は何でしょうか。境界線上の資産は、標準的な内部システムよりも大幅に速いパッチサイクルが求められます。エッジゲートウェイやアクセスポータルは信頼されていない公衆トラフィックを最初に処理するため、常に高い脆弱性にさらされています。そのため、中程度のセキュリティ上の欠陥であっても、企業への侵入口として機能し得るのです。
翻訳元: https://meterpreter.org/cve-2026-0257-authentication-bypass/
