CISA KEVに追加されたPAN-OS CVE-2026-0257について、GlobalProtect VPNの利用有無、対象バージョン、緩和策、ログ確認、エスカレーション判断を実務向けに整理します。
2026年5月29日、CISAは Palo Alto Networks PAN-OSのCVE-2026-0257 をKnown Exploited Vulnerabilities(KEV)Catalogに追加した。Palo Alto Networksの公式アドバイザリでは、GlobalProtect portal / gatewayに関する認証回避脆弱性として説明されており、条件を満たす構成では未認可のVPN接続につながる可能性がある。
この記事では、攻撃手順や再現方法ではなく、防御側がまず確認すべきことに絞る。重要なのは「PAN-OSを使っているか」だけではない。GlobalProtect portal / gatewayの利用有無、Authentication Override cookieの設定、修正版または緩和策の適用、VPNセッションと認証ログの確認を分けて進めることだ。
何が起きたか
CVE-2026-0257は、PAN-OSのGlobalProtect portal / gatewayに関する認証回避脆弱性だ。Palo Alto Networksの公式アドバイザリでは、SeverityはHigh、Exploit MaturityはAttackedとされ、限定的な悪用試行を把握していると説明されている。
NVDでは、GlobalProtect portal / gatewayの認証回避により、セキュリティ制限を迂回して未認可のVPN接続を確立できる可能性があると説明されている。CISA KEVでは2026年5月29日に追加され、対応期限は2026年6月1日とされた。CISAの要求事項は、ベンダー指示に従った緩和策の適用、該当する場合のBOD 22-01に沿った対応、または緩和できない場合の利用停止だ。
現時点で公開情報から確認できる範囲では、PanoramaとCloud NGFWは影響対象外とされている。一方で、PAN-OSとPrisma Accessの一部バージョンは対象になり得るため、利用ブランチと修正版は必ずベンダー公式アドバイザリで確認する。
読者別の影響
| 読者・担当 | まず見るべきこと | 影響の考え方 |
|---|---|---|
| 情シス・ネットワーク担当 | GlobalProtect portal / gatewayの有効化、PAN-OSのバージョン、Authentication Override cookieの設定 | VPN入口が認証回避の影響を受ける構成かを切り分ける |
| CSIRT・SOC | VPN認証ログ、セッション作成、ログイン元、設定変更履歴 | 既に不審なVPN接続や設定変更がないか確認する |
| 開発者・SRE | VPN経由で到達できる開発環境、CI/CD、管理API | VPN侵害が開発基盤やシークレットへ波及しないか確認する |
| SaaS・IdP管理者 | IdPログ、条件付きアクセス、MFA、VPN連携アプリ | VPN認証とIdP側の認証事実が矛盾していないか確認する |
VPNはネットワーク機器だけの問題に見えやすいが、実際にはIdP、MFA、端末管理、開発環境、監査ログがつながっている。CyberLensの管理プレーンセキュリティでも扱っている通り、境界機器や認証ポータルは「外から触れる管理面」として棚卸しする必要がある。
まず確認すること
攻撃再現ではなく、自社の構成とログを突き合わせる。最初の30分では、次を順番に確認する。
- PAN-OS、Prisma Access、GlobalProtectを使っている資産があるか
- 対象バージョンに該当するか、修正版または推奨緩和策を適用済みか
- GlobalProtect portal / gatewayが有効か
- Authentication Override cookieの生成または受け入れを有効にしているか
- 認証Override cookie用の証明書が専用管理され、他用途と共有されていないか
- VPN入口がインターネットから到達可能か、到達元を制限しているか
- 直近のVPNセッション作成、失敗ログイン、地理的に不自然な接続、ユーザーエージェント、管理者操作のログを確認したか
- IdP側の認証ログとVPN側のセッションログに矛盾がないか
対象製品の有無と外部露出を整理するには、インターネット公開管理画面 緊急点検チェックリストを使う。CVE番号からの初動整理には、CVE初動対応チェックリストも併用できる。
初動対応
初動では、修正版への更新と暫定緩和を同時に進める。Palo Alto Networksの公式アドバイザリでは、対象ブランチごとに修正版が示されているため、自社の保守契約、メンテナンスウィンドウ、ロールバック条件を確認する。
すぐに行うこと:
- ベンダー公式アドバイザリで対象バージョン、影響条件、修正版、回避策を確認する
- 該当構成なら、Authentication Overrideの無効化または専用証明書への切り替えを検討する
- パッチ適用までの間、GlobalProtect portal / gatewayの到達元制限と監視を強化する
- VPNセッション、認証ログ、管理者操作、設定変更履歴を保全する
- 不審な接続がある場合は、対象アカウント、証明書、VPN設定、到達可能な内部システムを調査対象にする
やらないこと:
- 自社外の機器や第三者環境に対して確認スキャンを行わない
- PoCや攻撃手順で「本当に悪用できるか」を試さない
- パッチ適用だけで完了扱いにし、既存セッションやログ確認を省略しない
- VPN入口だけを見て、IdPログや内部到達範囲の確認を後回しにしない
記録すべきこと:
- 確認した資産、PAN-OS / Prisma Accessのバージョン、GlobalProtect設定
- Authentication Override cookieの設定有無、証明書の扱い、変更内容
- 適用した修正版または緩和策、作業時刻、担当者、残リスク
- VPNログとIdPログの確認範囲、不審接続の有無、未確認事項
外部公開された管理面や認証ポータルが関係する場合は、管理画面認証回避・境界機器脆弱性 初動対応プレイブックで、封じ込め、ログ確認、復旧、報告文の順に整理する。
判断基準
| 優先度 | 条件 | 推奨判断 |
|---|---|---|
| 高 | 対象バージョンで、GlobalProtect portal / gatewayが有効、Authentication Override cookieが有効、外部到達可能 | 緊急対応。緩和または更新、ログ保全、不審セッション確認、関係者エスカレーションを同時に進める |
| 中 | 対象バージョンだが、到達元制限や緩和策を確認済み | 更新計画を前倒しし、設定とログを再確認する |
| 低 | 影響対象外バージョン、対象機能未使用、またはベンダー情報上で対象外 | 証跡を残し、資産台帳と次回確認日を更新する |
KEVに追加されたCVEでは、CVSSだけで優先度を決めない。CISA KEV、ベンダーのExploit Maturity、自社の露出範囲、認証設定、ログの状態を合わせて判断する。CVEとCVSSの違いは、CVEとCVSSの違いも参考になる。
よくある誤解
「KEVに入ったなら全社で侵害済み」とは限らない。 KEVは既知悪用の確認を示す重要なシグナルだが、自社影響は対象バージョン、設定、露出、ログで切り分ける。
「VPN機器だけ見ればよい」わけではない。 VPNセッションが成立すると、内部ネットワーク、SaaS連携、開発環境、管理APIに波及する可能性がある。IdPログや端末管理ログも合わせて見る。
「パッチを当てたから調査終了」ではない。 未認可接続の可能性がある脆弱性では、更新前後のセッション、ユーザー、権限、ログ欠損を確認し、残リスクを記録する。
関連用語・関連ページ
- インターネット公開管理画面 緊急点検チェックリスト
- 管理画面認証回避・境界機器脆弱性 初動対応プレイブック
- CVE初動対応チェックリスト
- 管理プレーンセキュリティ
- CVEとCVSSの違い
- KEVとは
- CVEとは
- Patch Managementとは
- PAN-OS CVE-2026-0300の初動確認
公式情報・参考情報
- Palo Alto Networks Security Advisory: CVE-2026-0257
- NVD: CVE-2026-0257
- CISA Known Exploited Vulnerabilities Catalog
- CISA KEV JSON feed
最終判断は、ベンダー公式アドバイザリ、保守契約、社内変更管理ルールに従う。公開情報だけで自社影響を断定せず、設定とログの実確認を残すことが重要だ。
