CISA、悪用が確認されたPalo Alto VPNの深刻な認証バイパスに対し、本日中にパッチ適用を命令

この攻撃には、ユーザーの操作や対象システムへの特別な権限は一切不要です。ネットワーク経由で低い複雑性で実行可能であることが、最終的に「クリティカル」と評価された理由です 。

わずか2週間で「中」から「緊急」へ：脅威評価の激変

Palo Alto Networksが2026年5月13日に最初のセキュリティアドバイザリを公開した際、CVE-2026-0257は「中程度の深刻度」であり、CVSSスコアは7.8と評価されていました 。現在も、多くのセキュリティニュースメディアがこの当初の評価を引用し続けています。

しかし、米国国立標準技術研究所（NIST）の国家脆弱性データベース（NVD）による再分析、そしてそれに続く他の政府機関の調査により、評価は劇的に引き上げられました。2026年5月29日付で、NVDのレコードが更新され、政府機関としての正式なスコアはクリティカル、CVSS v3.1で9.1に引き上げられました 。シンガポールのサイバーセキュリティ庁（CSA）や、様々なCVE情報フィードも、現在はこの9.1のクリティカル評価を反映しています 。この、ベンダー当初の評価と政府機関の最終評価の間に生じたギャップが、多くの組織において、悪用が始まってから数週間もの間、パッチ適用の優先度を下げてしまった重大な要因です。

攻撃のタイムライン：VultrのIPから始まった二波の攻撃

情報公開から実際の悪用開始までの期間は、極めて短いものでした。Rapid7のマネージド型検知・対応（MDR）チームは、アドバイザリ公開からわずか4日後の5月17日に、最初の攻撃成功を観測しています 。そして5月29日、CISAはCVE-2026-0257を「悪用が確認された脆弱性（KEV）」カタログに追加し、米国連邦政府機関に対する修正期限を2026年6月1日に設定しました 。

これまでに、二つの異なる攻撃の波が確認されています。第一波は5月17日から18日にかけてクラウドプロバイダー「Vultr」がホストするインフラから発生し、第二波は5月21日に「Dromatics Systems」のインフラから発生しました 。情報分析によると、両方の波で一貫したMACアドレスが使用されており、同一の脅威アクターによるものであると示唆されています 。また、確認された全てのケースにおいて、攻撃者は偽造した認証上書きCookieを用いて、侵害した端末のローカル管理者アカウントを直接の標的にしていました 。

ここで極めて重要なのは、Rapid7が影響を受けたMDR顧客10社のうち8社でVPN接続の成功を確認したものの、調査員は侵害された端末からの水平移動（ラテラルムーブメント）の成功はまだ観測していないという点です 。この事実は、攻撃者がネットワーク深部へ侵入する前に、防御側が侵害を封じ込められる、小さいながらも極めて重要な猶予期間があることを示しています。

公開された実証コードと影響を受ける製品

リスクは、攻撃コードが公に利用可能になっていることで、さらに深刻化しています。複数のインテリジェンスレポートが、少なくとも1つ、恐らくは複数の実証コード（PoC）が公開リポジトリに存在することを確認しており、これがさらなる攻撃のハードルを大幅に下げています 。

影響を受ける製品は明確に特定されています。この脆弱性は、PAシリーズおよびVMシリーズのファイアウォール上で稼働するPAN-OSバージョン10.2、11.1、11.2、12.1、およびPrisma Accessに影響します 。一方で、集中管理ツール「Panorama」とクラウド次世代ファイアウォール「Cloud NGFW」の2つの主要製品ラインは、影響を受けないことが明示されています 。

直ちに実行すべき緩和策と修正手順

Palo Alto Networksは、サポート対象の全ファームウェアブランチ向けにパッチをリリースしています。修正を含む新しいソフトウェアバージョンでは、偽造されたCookieが強制的に拒否されるようになります 。

最も包括的な緩和戦略は、以下の4つの緊急アクションで構成されます。

第一に、お使いのバージョン系統の最新パッチをPAN-OSに適用してください。 修正済みリリースの例として、PAN-OS 12.1向けは12.1.4-h6および12.1.7、PAN-OS 11.2向けは11.2.4-h17、11.2.7-h14、11.2.10-h7、11.2.12などがあります。11.1や10.2向けにも同様のパッチが用意されています 。Prisma Accessをご利用のテナントも、同様に修正済みバージョンへ更新する必要があります。

第二に、認証上書きCookieがビジネス上の絶対的な必須要件でない限り、当該機能を完全に無効化してください。 これにより、攻撃の前提条件そのものを根本から取り除くことができます 。

第三に、証明書の構成を見直してください。 HTTPS管理インターフェース用の証明書を、GlobalProtectのCookie暗号化に絶対に使い回さないでください。Cookie暗号化には専用の証明書を使用することで、偽造可能なCookieが生成される根本的な仕組みを断ち切ることができます 。

第四に、直ちにアクティブなログ監査を開始してください。 不審なセッション生成イベント、見慣れないIPアドレス（特にVultrのASNのような既知の攻撃インフラ）からの接続、予期しない認証上書きCookieの使用などを探してください 。水平移動がまだ確認されていない現時点では、ログ監査こそが、既に侵害が発生しているかどうかを特定するための最善のツールです。

CISAが定めた修正期限である6月1日は、すでに到来しています。まだパッチを適用していない組織は、確認済みで活発に悪用されている、極めて深刻な脅威にさらされた状態で運用を続けていることになります。先手を打った予防策としてではなく、フォレンジック調査の一環としてパッチを当てる、という段階に入りつつあるのです。