米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Palo Alto NetworksのPAN-OSに存在する重大な認証バイパス脆弱性を「既知の悪用脆弱性(KEV)カタログ」に追加し、実際の攻撃への悪用が確認されていることを公表しました。
CVE-2026-0257として追跡されているこの脆弱性を悪用すると、攻撃者はセキュリティ制限を回避して不正なVPN接続を確立することができ、企業ネットワークの境界防御に対する重大な脅威となっています。
この脆弱性は、Palo Alto Networksの次世代ファイアウォールおよびネットワークセキュリティアプライアンスを動かすOS「PAN-OS」に存在します。
攻撃者はこの脆弱性を突くことで、セッション認証情報を偽造したり信頼済み状態の値を操作したりして不正なVPNアクセスを獲得でき、企業が最も機密性の高いネットワークセグメントの保護に用いているファイアウォールを実質的に突破することが可能です。
CISAがこの脆弱性をKEVカタログに追加したのは2026年5月29日で、拘束的運用指令(BOD)22-01の対象となるすべての連邦機関に対して2026年6月19日までの対応期限を設けています。
同庁は特定の脅威アクターグループへの帰属は確認していないものの、悪用は現在進行中であり、ランサムウェアキャンペーンへの関与については引き続き調査中であると述べています。
境界セキュリティデバイスにおける認証バイパス脆弱性は、歴史的に見ても大きな被害をもたらす侵害の入口として悪用されてきました。
PAN-OSデバイスは政府機関、金融、医療、重要インフラなど幅広いセクターに広く導入されており、CVE-2026-0257は特に価値の高い攻撃対象となっています。
とりわけ脅威として懸念されるのがVPNバイパス機能です。この脆弱性の悪用に成功した攻撃者は、標準的な認証情報ベースの検知機構を回避しながら持続的な足がかりを確立できるため、インシデント対応をより困難にします。
この脆弱性は、CVE-2024-0012やCVE-2025-0108といった過去のPAN-OS脆弱性と類似しており、いずれも公開直後に急速に武器化され、政府機関や企業ネットワークを標的とした高度な脅威キャンペーンに利用されました。
CISAは、影響を受けるPAN-OSバージョンを使用しているすべての組織に対して、直ちに対応措置を講じるよう強く促しています。
推奨される対応手順として、Palo Alto Networksの公式ベンダーアドバイザリに従ってすべての利用可能なパッチおよび緩和策を適用すること、製品のクラウドホスト版についてはBOD 22-01のガイダンスに従うこと、また修正期限内にパッチや補完的な対策を適用できない場合は当該製品の使用を停止することが挙げられています。
また各組織は、VPNセッションログを監査して異常または不正な接続試行がないか確認するとともに、すべてのリモートアクセス入口に多要素認証を導入し、悪用が疑われる場合はラテラルムーブメント(横展開)の兆候を継続的に監視することが求められます。
翻訳元: https://cyberpress.org/palo-alto-pan-os-flaw-exploited/