CVE-2026-0300：Palo Alto PAN-OS管理者が今やるべきこと

なぜ急ぐべきなのか

CVE-2026-0300の厄介さは、攻撃条件がそろっている点にあります。Palo Alto Networksの評価では、攻撃ベクトルはネットワーク、攻撃の複雑性は低、必要権限なし、ユーザー操作なし、追加の攻撃条件なし、自動化可能とされています。

Unit 42は、現時点での悪用は限定的だとしつつ、この脆弱性を悪用する国家支援の可能性がある活動クラスターを追跡していると説明しています。カナダのCanadian Centre for Cyber Securityも、Palo AltoがCVE-2026-0300の能動的悪用に関する報告を受けており、CISAが2026年5月6日に同脆弱性をKnown Exploited Vulnerabilities、いわゆるKEVカタログへ追加したと報告しています。

限定的な悪用という表現は、放置してよいという意味ではありません。Center for Internet Securityは、未信頼IPアドレスまたは公開インターネットに露出したUser-ID Authentication Portalが標的になっているとし、機微なポータルを信頼済み内部ネットワークに制限している顧客はリスクが大きく低減されるとしています。Unit 42も、ポータルが公開インターネットや未信頼ネットワークに露出している場合、未認証RCEのリスクが大幅に高まると説明しています。

最初に確認すべき対象

優先すべきは、PAN-OSを実行し、User-ID Authentication Portal/Captive Portalを有効にしているPalo Alto NetworksのPA-SeriesおよびVM-Seriesファイアウォールです。

公開報道では、ポータルがインターネットまたは未信頼ネットワークからアクセス可能な構成ではCVSS 9.3、信頼済み内部IPアドレスのみに制限されている構成では8.7とされています。ただし、8.7に下がることは、対策完了を意味しません。内部限定であっても、影響を受けるPAN-OSにはベンダー推奨の修正経路が必要です。

一方、Unit 42はPrisma Access、Cloud NGFW、Panoramaアプライアンスはこの脆弱性の影響を受けないと説明しています。ただし、それで棚卸しを省略してよいわけではありません。PA-Series/VM-Seriesの実配備、とくにCaptive Portalが未信頼IPアドレスにさらされていた環境は、必ず確認対象に入れてください。

PAN-OS管理者向けアクションプラン

1. User-ID Authentication Portalの全配備を洗い出す

まず、PAN-OSファイアウォールを棚卸しし、どのPA-Series/VM-SeriesでUser-ID Authentication Portal/Captive Portalが有効になっているかを確認します。

各機器について、次の到達性を記録してください。

• インターネットから到達できるか
• 未信頼ネットワークから到達できるか
• 信頼済み内部IP範囲からのみ到達できるか

公開または未信頼ネットワークから到達可能な構成は、最優先で扱うべきです。既存の情報では、この条件で悪用リスクが高まるとされています。

2. ポータルアクセスを今すぐ制限または無効化する

User-ID Authentication Portalは、信頼済み内部ネットワークからのみ到達できるよう制限してください。確実に制限できない場合は、修正できるまでポータルアクセスを無効化する判断が必要です。

シンガポールCyber Security Agencyは、影響を受けるバージョンの利用者と管理者に対し、セキュリティ更新が利用可能になるまでポータルアクセスを制限または無効化するよう助言しています。

3. パッチ情報はPalo Alto公式アドバイザリを基準にする

CERT-EUは、修正版が利用可能になり次第、影響を受けるアプライアンスを更新し、それまでの間は回避策と緩和策を適用することを強く推奨しています。

重要なのは、第三者が転記したバージョン表だけで判断しないことです。影響バージョン、修正版、PAN-OSブランチごとの扱いは更新され得ます。最終的な判断は、Palo Alto NetworksのCVE-2026-0300公式アドバイザリで確認してください。

4. パッチ後も露出状態を再確認する

ソフトウェア更新だけで、構成上のリスクが消えるとは限りません。パッチ適用後も、User-ID Authentication Portalが公開インターネットや未信頼ネットワークから到達できないことを確認してください。

業務上どうしても外部到達性が必要な場合は、その理由、補完的な制御、監視方法を文書化する必要があります。機微なポータルを信頼済み内部ネットワークに限定することは、リスクを大きく下げるベストプラクティスとして説明されています。

5. 外部公開されていたファイアウォールは侵害確認を行う

未信頼ネットワークに露出していた影響対象ファイアウォールは、通常運用へ戻す前に侵害確認を行ってください。少なくとも、ログの保全、ポータルトラフィックの確認、予期しない設定変更の有無、悪用後の活動の痕跡を確認するべきです。

理由は明確です。この脆弱性の悪用に成功すると、ファイアウォール上で認証なしにroot権限のコード実行が可能になるおそれがあります。

米国連邦機関：KEV案件として扱う

米国連邦機関、とくにCISA KEVプロセスの対象となるチームにとって、CVE-2026-0300は単なるベンダーアドバイザリではありません。Canadian Centre for Cyber Securityは、CISAが2026年5月6日にこの脆弱性をKEVカタログへ追加したと報告しています。また、現在の報告では、連邦機関はBOD 22-01に基づきKEV掲載脆弱性を是正するよう求められるとされています。

対象組織は、資産発見、ポータル制限または無効化、パッチ適用状況、修正版PAN-OSの確認、未信頼ネットワークから到達できないことの証跡、露出していた機器の侵害確認まで、監査可能な形で記録を残すべきです。

米国連邦機関以外の組織でも、KEV掲載は優先順位付けの強いシグナルになります。自社の変更管理プロセスを待つだけでなく、緊急変更として扱えるかを検討してください。

すぐにパッチできない場合

すぐに修正版を適用できない場合でも、露出をそのままにしないでください。正しい修正版が利用可能になり、対象環境へ適用されるまで、緩和策を維持します。

Captive Portalを停止できない場合は、信頼済み内部IP範囲のみに制限し、監視を強化してください。パッチも確実な制限もできない場合は、未信頼ネットワークからの到達経路を切るか、露出しているサービスを一時的に停止するのが安全側の判断です。

残るリスクは、ネットワーク越しに到達可能で、認証不要、ユーザー操作不要、自動化可能、かつ悪用が報告済みという性質を持っています。

避けたい判断ミス

• Captive Portalがインターネットまたは未信頼ネットワークに露出しているのに、通常メンテナンス日まで待つ。これは各アドバイザリで最もリスクが高い構成として示されています。
• 内部限定にしただけで完了とみなす。リスクは下がりますが、影響を受ける機器には適切なPAN-OSの修正経路が必要です。
• 第三者サイトの修正版リストだけに頼る。最終的なバージョン判断はPalo Alto Networksの公式アドバイザリで行ってください。
• 外部公開されていた機器を、パッチ適用だけで信頼済み状態に戻す。root権限でのコード実行につながる脆弱性である以上、侵害確認まで実施すべきです。

最低限の安全ラインは明確です。User-ID Authentication Portalへの未信頼アクセスを止める。Palo Alto Networksの公式アドバイザリに従って修正する。そして、露出していたファイアウォールは通常の信頼状態へ戻す前に調査する。この3点を、今すぐ進める必要があります。