Palo Alto NetworksのPAN-OSを境界ファイアウォール/VPNゲートウェイとして使っている組織にとって、2026年5月13日のセキュリティアドバイザリ公開は無視できない一報でした。
クラウド認証サービスCloud Authentication Service(以降CAS)を有効にしている環境では、認証されていない攻撃者がネットワーク越しにログイン認証を回避できる脆弱性CVE-2026-0265が公表され、JPCERT/CCも2026年5月22日付の注意喚起at260015で警鐘を鳴らしています。
この記事では、CVE-2026-0265の技術的な背景と、SOC・情シス・ネットワーク運用者がいま実施すべき棚卸しと検知強化の手順を、攻撃者視点から逆算した防御の組み立て方として整理します。
「CASは使っていないつもり」と思っている組織ほど、認証プロファイル設定の実体を一度棚卸ししてほしい性質の脆弱性です。
CVE-2026-0265とは何か(CASとJWT署名検証の関係)
CVE-2026-0265は、PAN-OSのCloud Authentication Service(CAS)における事前認証回避(Authentication Bypass)脆弱性です。
脆弱性種別はCWE-347(暗号署名の不適切な検証)に該当し、CASがログイン経路で受け取るJSON Web Token(JWT)の署名検証ロジックに不備があるとPalo Alto Networks公式アドバイザリで説明されています。
JWTは「ヘッダ・ペイロード・署名」の3パートで構成され、本来は署名部分がペイロードの改ざんを検出するための要です。
ところが本件では、CASが受領するトークンの署名検証が一部条件下で正しく行われず、攻撃者が用意したトークンが「正当に認証されたトークン」として処理されてしまう余地が生まれます。結果として、認証を経ていない攻撃者がCAS配下の認証関門を素通りできる事態になります。
影響を受けるのはCASを認証プロファイルとして有効化し、かつログインインターフェースに割り当てているケースに限られます。CASを一切構成していない環境や、SAML・RADIUS・Kerberos等の別認証方式のみで運用している環境は直接の対象外です。
ただし、「対象外と思っていた」が実は古いテスト用CAS設定が残っていた、という棚卸し漏れが現場では起こりがちなので、設定実体の確認は必ず行ってください。
CVSS v4.0スコアは7.2(HIGH)、ベースのみで評価したCVSS-Bは9.2と報告されています。ネットワーク経由で認証情報も利用者操作も不要に攻撃可能というベクタ条件は、防御側にとって扱いを下げてよい理由になりません。
影響範囲とパッチ分岐マトリクス
本脆弱性の影響範囲は、PA-Seriesハードウェアファイアウォール・VM-Series仮想ファイアウォール・Panorama管理アプライアンス(仮想およびM-Series)に及びます。
一方、Cloud NGFWおよびPrisma Accessは影響対象外として公表されています。クラウドマネージドサービス側はベンダ側で対応済み、という位置づけです。
影響PAN-OSの系列と修正版バージョンは以下のとおりです。残り分岐の修正版は2026年5月28日提供予定としてPalo Alto公式が告知しているため、本記事公開時点で該当版が未提供の系統がある場合は公式アドバイザリで最新の提供状況を必ず確認してください。
| PAN-OS系列 | 影響バージョン | 修正版(適用目標) | 注記 |
|---|---|---|---|
| 10.2系 | 10.2.18-h6より前 | 10.2.18-h6以降 | h-リリース複数あり、自社該当版を要確認 |
| 11.1系 | 11.1.15より前 | 11.1.15以降 | 複数分岐あり、自社該当版を要確認 |
| 11.2系 | 11.2.12より前 | 11.2.12以降 | Threat ID 510008が利用可能な系統 |
| 12.1系 | 12.1.7より前 | 12.1.7以降 | 最新系統、公式の自社該当バージョン表を要確認 |
多くの修正版は公式アドバイザリ初出の2026年5月13日に同時公開済みです。残った分岐の修正版は2026年5月28日提供予定としてアナウンスされています(出典: Palo Alto Networks公式アドバイザリ/JPCERT at260015)。
PAN-OSは同じ系列内でもサブセット分岐が多く、「11.2系なら11.2.12へ」という単純化が必ずしも正解になりません。自社が稼働させている正確なPAN-OSバージョンを `show system info` などで取得し、公式アドバイザリの自社該当バージョン表と突き合わせる確認手順を必ず通してください。
GlobalProtectへの波及リスクとSOC観点
本脆弱性が現場のSOC運用で重く受け止められている理由は、GlobalProtectゲートウェイ/ポータルにもCASが認証プロファイルとして割り当てられている構成があり得るからです。
GlobalProtectはリモートアクセスVPNの入り口であり、ここの認証関門が回避できれば、攻撃者は社内ネットワークへの足場を獲得できることになります。
攻撃者視点で考えると、最も価値の高い構成は次のような組み合わせです。
・CAS有効+管理インターフェースがインターネット公開: 最高リスク。管理権限の奪取に直結する経路
・CAS有効+GlobalProtectゲートウェイ/ポータルに割当: リモートVPN経由で社内資産へラテラルムーブの土台になる
・CAS有効+Captive Portal等の認証ポータルに割当: 利用者なりすましから順次権限拡大される起点になる
Palo Alto Networks公式は「悪意ある悪用は2026年5月20日時点で確認していない」としていますが、JPCERT/CCは「Hacktron AIによる詳細解説がすでに公開されており、攻撃コード公開や悪用拡大の可能性がある」と注意喚起しています(出典: JPCERT at260015)。
攻撃手法の概要が公開された脆弱性は、攻撃ツールキットへの組み込みが時間の問題と考えるのが現実的な前提です。「未観測=安全」ではない、と運用判断を切り替えてください。
SOCの初動観点で押さえるべきは、第一にCAS構成資産の最新一覧化、第二に管理面の到達性監視、第三にGlobalProtect認証ログの異常パターン検出です。
特にGlobalProtect側は、業務時間外の認証成功・通常ルートと異なる送信元IP・短時間に連続する認証セッション生成などが、認証回避の試行が成功した後の典型的な兆候として現れる可能性があります。
即時実施すべき検知・対応手順
1. 自社PAN-OSバージョンの取得と該当判定
最初に確定させるべきは「自社環境が影響対象か」です。CLIから現行バージョンを取得して、公式アドバイザリの自社該当バージョン表と突き合わせます。
# 現行PAN-OSバージョンの確認 show system info | match sw-version # CAS認証プロファイル有効化状況の確認 show authentication-profile # ログインインターフェース割当の確認 show config running | match authentication-profile
取得結果と公式アドバイザリの自社該当バージョン表を突き合わせ、修正版未満であれば影響対象、修正版以降であれば対象外と判定します。
CASが有効でない場合は本脆弱性の発動条件を満たさないため対応優先度は下がりますが、それでも修正版適用は基本動作として推奨されます。
2. パッチ適用(最優先タスク)
影響対象が確定したら、即座に修正版へアップデートします。
本番ファイアウォールのアップデートはサービス影響を伴うため、保守時間帯の確保と切り戻し手順の準備を平行で進めてください。HAペア構成であれば、まずパッシブ機の更新→フェイルオーバ→旧アクティブ機の更新、という順序で無停止移行が可能です。
運用都合でパッチ適用が遅れる場合は、後述する公式回避策(Workarounds)を必ず併用してください。「次のメンテ枠で対応する」という判断は、本件においては推奨しません。攻撃手法の概要が公開済みである以上、攻撃の自動化が進行する前提で対応速度を組み立てます。
3. 公式回避策3点の即時適用
パッチ適用までのつなぎとして、公式アドバイザリが提示している回避策3点を即時適用します。
・管理インターフェースへのアクセスを信頼できる内部IPに限定: 管理I/Fのインターネット公開を即時停止し、社内管理ネットワークからのみ到達可能にする
・CASの無効化と他認証方式への切替: 業務影響が許容できる範囲で、SAML/RADIUS/Kerberosなど別認証方式に一時切替
・Threat ID 510008の有効化: PAN-OS 11.2以上かつThreat Preventionサブスクリプション利用環境で、IPS署名による検知・遮断を有効化
3つの回避策は組み合わせて適用するほど効果が上がります。特に管理I/Fのインターネット公開停止は、本脆弱性に限らずPAN-OSの過去事例でも繰り返し推奨されてきた基本動作です。今回を機に恒久化を検討してください。
4. 過去ログの精査と侵害確認
パッチ適用と回避策投入と並行して、過去にすでに認証回避の試行が成立していないかも確認します。
本脆弱性は公式アドバイザリ公開以前から発見・解析が進んでいた可能性があり、ログを遡って異常パターンを探す価値があります。
・認証成功ログの精査: 通常想定されない送信元IPからの認証成功、業務時間外の連続認証、短時間に複数アカウントが連続して認証成功している痕跡
・管理者アカウントの監査: 想定外の管理者アカウント追加・権限変更・設定変更コミットの履歴
・GlobalProtectセッションログ: 通常運用と異なる接続元・接続時間帯・接続後の通信先
・システム設定変更履歴: 認証プロファイル・管理者ロール・サービスルートの想定外変更
侵害の痕跡が見つかった場合は、パッチ適用だけでなく認証情報の総入れ替え・該当機の設定再構築・場合によってはフォレンジック調査まで視野に入れます。
PAN-OSの設定はXMLエクスポートで差分検出が可能なので、平時から定期エクスポートを保管しておくと、こうした事後検証で大きな助けになります。
PR
実践 パケット解析 第3版 ―Wiresharkを使ったトラブルシューティング(Chris Sanders 著・オライリー・ジャパン)
SOCで「いつもと違う認証ログを見つけたが本当に侵害か判断したい」場面で効くのが、パケット層まで降りて見る基本動作です。本書はWiresharkを使った異常検知と切り分けの定番書で、PAN-OS等のネットワーク機器ログと突き合わせる土台として役立ちます。
管理I/F公開組織の棚卸しTODO
本脆弱性を機に、PAN-OSに限らず「ネットワーク機器の管理インターフェースが社外から到達可能になっていないか」を組織全体で棚卸しすることをお勧めします。
セキュリティマスター軸の「攻撃者視点で防御」の発想で言えば、攻撃者にとっての価値が高い順に資産を並べ直し、最上位から守りを固める考え方です。
以下のチェックリストで、自組織の現状を確認してください。
・PAN-OS稼働全機の現行バージョン一覧: アセット管理台帳の鮮度がそのまま対応速度に直結する
・CAS認証プロファイルの利用実態: 有効化されているか、どのログインインターフェースに割り当てられているか
・管理インターフェースの公開範囲: インターネット公開・社内限定・特定IP限定のいずれか
・GlobalProtectゲートウェイ/ポータルの認証構成: CASが割当に含まれているか、他認証方式との二段構成か
・Threat Preventionサブスクリプションの有効性: 11.2系以上であればThreat ID 510008の発動可否
・HAペア構成・無停止アップデート手順の整備状況: 緊急パッチを業務影響を抑えて適用できる体制があるか
・設定エクスポートの定期取得: 侵害発生時の差分検出に必要な平時のベースラインが揃っているか
これらは本脆弱性が無くても平時から整っているのが理想ですが、現実には「棚卸しは年1回」「設定エクスポートは思い出した時だけ」という組織も多いはずです。
緊急対応のたびに棚卸しから始める運用は、対応速度を確実に遅らせます。今回を機に、平時の運用ルールに組み込む方向で見直してください。
クラウド側のIAMやVPC設計と組み合わせた境界防御の発想については、姉妹サイトCloudMaster.JPでも整理しています。Linuxサーバ側のSSH管理面の保護や権限分離については、姉妹サイトLinuxMaster.JPを併せて参考にしてください。
よくある質問(FAQ)
Q1. CASを使っていない環境でも修正版を適用すべきですか?
A. 本脆弱性の発動条件は「CASが認証プロファイルとして有効かつログインインターフェースに割り当てられている」ことなので、CAS未使用環境は直接の対象外です。ただし、PAN-OSのセキュリティパッチは複数の修正を含むことが多く、修正版適用は基本動作として推奨されます。
Q2. CVSS v4.0が7.2なら「中程度」と判断してよいですか?
A. スコア単体ではそう見えますが、CVSS-Bが9.2であること、攻撃手法の概要がすでに公開されていること、認証不要・利用者操作不要で発動することを総合すると、運用上は最優先案件として扱うべきです。スコアの数字より、ベクタの内訳(AV:N/AC:L/PR:N/UI:N)が示す「攻撃のしやすさ」を重視してください。
Q3. Threat ID 510008を有効化すれば、パッチ適用は後回しにできますか?
A. 推奨しません。IPS署名は既知の攻撃パターンへの対応であり、ペイロード回避の亜種が出れば検知漏れが起こり得ます。Threat ID 510008はあくまで「パッチ適用までのつなぎ」と位置付けてください。
Q4. 自社のPAN-OSが影響対象かどうか、社内に判断できる人がいません。どうすればよいですか?
A. 公式アドバイザリページ(security.paloaltonetworks.com/CVE-2026-0265)の「Affected Products」表に、稼働中のバージョン番号を当てはめれば一次判定できます。判断に不安があれば、保守契約のあるベンダ/SIerにエスカレーションするのが現実解です。
Q5. CASを無効化する場合、業務影響はどの程度ありますか?
A. CASを使っているログインインターフェースの利用者は、別認証方式に切り替えるまでログインできなくなります。事前に代替認証経路(SAML/RADIUS/Kerberos)の準備と利用者周知を行ってから無効化する手順が必要です。完全無効化が難しい場合は、せめて管理インターフェースの公開停止だけでも先行してください。
Q6. 過去ログを精査する際、どの程度遡るのが適切ですか?
A. 公式アドバイザリ公開日(2026年5月13日)の前30日程度を最低ラインとし、ログ保管期間が許す範囲で可能な限り遡るのが安全側の判断です。攻撃手法の解析公開が2026年5月20日なので、それ以降の認証成功ログは特に重点的に確認してください。
Q7. パッチ適用と公式回避策はどちらを優先すべきですか?
A. パッチ適用が根本対策、公式回避策は時間稼ぎです。両方を並行で進めるのが理想ですが、優先順位を付けるなら「管理I/Fの公開停止→CAS関連設定の見直し→修正版適用→Threat ID 510008有効化」の順で着手すると、被害最小化と恒久対策の両立がしやすくなります。
Q8. 国内で被害が発生したという情報はありますか?
A. ベンダおよびJPCERT/CCの公式情報を確認した範囲では、本記事執筆時点で国内被害の確認発表はありません。ただし「被害なし」と確定したわけではなく、観測されていないだけ、または被害組織が公表していない可能性は残ります。情報の有無に関わらず、自社環境の対応は前倒しで進めてください。
本記事のまとめ
CVE-2026-0265は、PAN-OSのCASにおけるJWT署名検証不備に起因する事前認証回避脆弱性です。
発動条件はCAS有効化+ログインインターフェース割当に限られますが、該当環境ではGlobalProtect経由のリモートVPN認証関門突破やPAN-OS管理面の奪取に直結し得る重大案件です。
運用者がいま実施すべきは、影響対象の確定→修正版適用→公式回避策3点の即時投入→過去ログ精査、の4ステップです。
SOC・SIEM運用者は、CAS構成資産の最新化と、GlobalProtect認証ログ・管理面到達性の異常検知ルール整備が当面の焦点になります。
本件のような「認証関門のJWT署名検証不備」は、防御側にとって外形からの検出が難しい性質を持ちます。だからこそ、平時からの管理面アクセス制御・認証プロファイルの棚卸し・パッチ適用速度の確保といった基本動作の積み重ねが、結局のところいちばん効きます。
PR
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版(徳丸浩 著・SBクリエイティブ)
JWT署名検証・認証バイパス・セッション管理など「なぜその実装が脆弱になるのか」を原理から学べる定番書。本件のような認証回避脆弱性が出た時に、ニュース記事の一行解説で終わらず、自社の設計レビューに繋げたい運用者に最適です。
境界機器の緊急対応を、組織の標準動作にしませんか
ファイアウォール・VPN脆弱性の速報が出るたびに現場が右往左往する状況を変える鍵は、平時の棚卸しと検知運用設計です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
