Palo Alto PAN-OSに認証バイパスの脆弱性(CVE-2026-0257)— 不正なVPN接続を許す
Palo Alto NetworksのファイアウォールOS「PAN-OS」に認証バイパスの脆弱性。攻撃者がセキュリティ制限を回避し、認可されていないVPN接続を確立できる。CISAは悪用確認済み(KEV)として掲載(CVSS 9.1 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-0257
- CVSS基本値9.1 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
- 対象(ベンダー/製品)Palo Alto Networks PAN-OS
- CWECWE-565
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-01(米連邦民生機関・BOD 22-01)
要点
CVE-2026-0257は、Palo Alto Networksの次世代ファイアウォール製品で動作するOS「PAN-OS」に存在する認証バイパスの脆弱性だ。CISAのKEVカタログに2026年5月29日付で追加され、CWE-565(検証なしにクッキー等を信頼することへの依存)に分類されている。
悪用されると、攻撃者は本来のセキュリティ制限を回避して、認可されていないVPN接続を確立できる。ファイアウォール/VPNゲートウェイは社内ネットワークと外部の境界に位置する機器であり、ここを突破されると内部への侵入の足がかりを与えることになる。境界防御製品の脆弱性は、近年ランサムウェアや国家関与の攻撃で繰り返し初期侵入経路として悪用されており、優先度は高い。
【対応の要点】Palo Alto Networksの公式アドバイザリ(security.paloaltonetworks.com/CVE-2026-0257)を確認し、影響を受けるPAN-OSバージョンを特定して、提供されている修正・緩和策を適用する。緩和策が利用できない場合は、当該機能の停止や該当製品の使用中止も選択肢になる(CISAのBOD 22-01の手順に準拠)。連邦民生機関の是正期限は2026年6月1日と短く、外部公開された境界機器であることから、できるだけ早い対応が望ましい。
なぜ重要か
PAN-OS機器を境界に置く組織は多く、外部公開機器であるため影響が大きい。資産棚卸し(インターネット公開しているPAN-OSの把握)と迅速なパッチ適用、VPNログの点検が要点。
よくある質問(FAQ)
PAN-OSとは何ですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。