CVE-2026-0257 とは何か
CVE-2026-0257 は、Palo Alto Networks の次世代ファイアウォール OS である PAN-OS の VPN 機能 GlobalProtect に存在する認証バイパス脆弱性である。CVSS スコアは 7.8(High)で、2026年5月17日から実際の攻撃への悪用が確認されており、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は KEV(Known Exploited Vulnerabilities)カタログに登録し、連邦機関に 2026年6月1日までの対応を義務付けた。
この脆弱性の核心は「設定の組み合わせで生まれる鍵の露出」にある。特定の構成条件が揃うと、攻撃者が VPN 認証に使われる Cookie の公開鍵を取得し、正規ユーザーに見えるセッション Cookie を偽造できる。結果として、VPN 経由で組織内ネットワークに無断でアクセスできてしまう。
何が起きたのか
2026年5月17日、最初の悪用が確認された。セキュリティ企業 Rapid7 は複数の顧客環境で GlobalProtect ゲートウェイに対して偽造 Authentication Override Cookie を使った認証が試みられていることを検出した。
- 第1波(5月18日): Vultr がホストするインフラから、ローカル管理者アカウントへの偽造 Cookie 認証が試行された。
- 第2波(5月21日): Dromatics Systems の IP から第2の攻撃波が観測された。
Palo Alto Networks は脆弱性のパッチを公開し、CISA は6月1日を対応期限とする KEV 登録を行った。現時点では詳細な被害組織は公表されていないが、Rapid7 は「複数の顧客が影響を受けた」と述べている。
脆弱性の技術的な仕組み
Authentication Override Cookie とは
GlobalProtect は、再認証の頻度を減らすために Authentication Override Cookie という仕組みを持つ。ユーザーが一度認証すると、暗号化・署名された Cookie が発行される。次回以降は、この Cookie を提示するだけで VPN 接続が確立できる。
この Cookie は以下の要素で保護されている:
- ランダムな暗号鍵(対称鍵)で内容を暗号化する
- 証明書の秘密鍵で署名し、改ざんを防止する
通常、署名の検証に使う公開鍵はサーバーが保持し、攻撃者が Cookie を偽造しても署名が通らないためブロックされる。
なぜ公開鍵が取得できてしまうのか
CVE-2026-0257 は特定の設定条件が揃った時に発生する。問題の条件は以下である:
- GlobalProtect portal / gateway で Authentication Override Cookie が有効になっている
- Cookie の暗号化・署名に使われる証明書が、別の HTTPS サービス(管理インターフェース等)と共有されている
証明書が別の HTTPS サービスと共有されると、攻撃者はその HTTPS サービス(一般的に公開されていることが多い)に接続することで 証明書の公開鍵を取得できる。公開鍵があれば Authentication Override Cookie の署名を模倣し、正規ユーザーのセッションに見える偽造 Cookie を生成できる。
言い換えれば、「同じ証明書を複数の目的で使い回すこと」が本来は公開されるべきでない鍵情報の漏洩を招いた。証明書を用途ごとに分離する原則(証明書の最小権限)が守られていれば成立しなかった攻撃である。
偽造 Cookie での認証の流れ
- 攻撃者が対象の Palo Alto ファイアウォールの公開 HTTPS サービスから証明書を取得し、公開鍵を抽出する。
- 公開鍵を使ってターゲット(例: ローカル管理者アカウント)の Authentication Override Cookie を偽造する。
- 偽造 Cookie を GlobalProtect ゲートウェイに送信し、認証なしで VPN セッションを確立する。
- VPN 経由で組織の内部ネットワークへアクセスし、横展開・情報収集・ランサムウェア展開等を行う。
影響を受ける条件
すべての PAN-OS 環境が影響を受けるわけではない。以下の条件がともに満たされる場合のみ脆弱である:
- GlobalProtect portal または gateway が設定されている
- Authentication Override Cookie が有効になっている
- Cookie に使う証明書が別の機能(HTTPS 管理インターフェース等)と共有されている
Authentication Override Cookie が無効の場合、または Cookie 専用の証明書を使用している場合は影響を受けない。
影響を受けるバージョンと修正版
| PAN-OS バージョン | 修正バージョン |
|---|---|
| PAN-OS 12.1 | 12.1.4-h6 または 12.1.7 以降 |
| PAN-OS 11.2 | 11.2.12 以降 |
| PAN-OS 11.1 | 11.1.15 以降 |
| PAN-OS 10.2 | 10.2.18-h6 以降 |
| PAN-OS 10.1 以前 | サポート終了済み。上位バージョンへの移行を推奨 |
日本企業への影響
Palo Alto Networks の PAN-OS は、日本でも金融・製造・通信・官公庁を中心に広く採用されているファイアウォール製品である。GlobalProtect はリモートワーク普及以降、VPN ソリューションとして多くの企業に導入されている。
今回の脆弱性は「設定の組み合わせ」で発生するため、以下の点に注意が必要だ:
- デフォルト設定で発生する可能性がある: Palo Alto Networks 機器を導入した際に、管理インターフェースと GlobalProtect で同じ証明書を使うケースは珍しくない。
- Authentication Override Cookie は利便性のために有効化しがち: リモートワーク利用者の頻繁な再認証を避けるため、多くの組織で有効化されている。
- VPN 侵害はランサムウェアの初期侵入経路になりやすい: VPN の認証バイパスは、ランサムウェアグループが最も好む初期アクセス手段の一つである。ランサムウェア2026 で解説したように、初期アクセスブローカーが VPN 侵害の経路を販売するケースも増えている。
今すぐ確認すべきポイント
1. PAN-OS バージョンを確認し、修正版にアップデートする
上記の修正バージョン表を参照し、自組織の PAN-OS バージョンが修正済みかどうかを確認する。未修正の場合は最優先でアップデートを実施する。Palo Alto Networks の公式アドバイザリ(CVE-2026-0257)でも確認できる。
2. Authentication Override Cookie の設定を確認する
GlobalProtect の設定で Authentication Override Cookie が有効になっているか確認する。有効になっている場合、以下のいずれかを実施する:
- 推奨: 専用の証明書を使用する。Cookie 専用の証明書を作成し、管理インターフェースや他の HTTPS サービスと共有しない。
- 代替: Cookie を無効化する。リモートアクセスの利便性が下がるが、最も確実に脆弱性の影響を排除できる。
# PAN-OS での確認箇所(Web UI)
# Network > GlobalProtect > Portals/Gateways
# > Authentication タブ > Cookie Authentication
# 証明書が他の用途のものと共有されていないか確認する3. 悪用の痕跡を調査する
脆弱性の悪用が 5月17日以降に確認されているため、それ以前から機器が稼働していた場合は侵害の痕跡がないか調査する:
- GlobalProtect の認証ログで、通常とは異なる IP アドレスや時間帯の認証がないか確認する
- 管理者アカウントへの VPN 接続(通常の利用者は管理者アカウントで VPN 接続しない)がないか確認する
- Rapid7 が公開した IoC(攻撃に使われた IP アドレス: Vultr ホストおよび Dromatics Systems)と照合する
- 内部ネットワークへの不審な横展開(ポートスキャン、認証試行の急増等)がないか確認する
4. 既存の Authentication Override Cookie をすべて無効化する
侵害の可能性がある場合、既存の Cookie をすべて無効化する。Cookie の暗号化・署名に使う証明書を新しいものに差し替えることで、既存の正規 Cookie および偽造 Cookie を両方無効化できる。
5. GlobalProtect の管理インターフェースをインターネットから遮断する
GlobalProtect の管理ポートおよび管理インターフェースはインターネットから直接アクセスできない構成にする。管理アクセスは内部ネットワークまたは帯域外(OOB)管理ネットワーク経由に限定する。
「設定ミス」が招く認証バイパスの本質
CVE-2026-0257 が示すのは、「コードにバグがなくても設定の組み合わせで致命的な脆弱性が生まれる」という現実である。
Authentication Override Cookie 自体は正当な機能であり、証明書の共有も禁止されているわけではない。しかし、両者が組み合わさったとき、公開鍵の取得 → Cookie 偽造という攻撃経路が生まれた。
これは、利便性のために「できるだけ再認証させたくない」という運用側の判断が、攻撃面の拡大につながった例でもある。セキュリティと利便性のトレードオフを再設定する機会として、設定の見直しを実施されたい。
VPN を狙った攻撃の別の手口については デバイスコードフィッシング(MFA 済みセッションを狙う手口)も参照されたい。
参考情報
- BleepingComputer: Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks
- The Hacker News: PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation
- Rapid7: Rapid7 Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability (CVE-2026-0257)
- CISA: Known Exploited Vulnerabilities Catalog(CVE-2026-0257)
- Palo Alto Networks: CVE-2026-0257 PAN-OS Security Advisory