2026年5月13日、JPCERT/CCの週次レポートで「複数のPalo Alto Networks製品に脆弱性」が報告されました。PAN-OS、Panorama、GlobalProtect App、Prisma SD-WAN ION など、国内大企業・準大企業の境界防御に広く採用されている製品群が対象です。
特に注目すべきは2件です。1件目はCVE-2026-0265 (CVSS 7.2)、Cloud Authentication Service (CAS) を有効にしたPAN-OSで認証バイパスが成立する脆弱性。2件目はCVE-2026-0300 (CVSS 9.3)、User-ID Authentication Portal で未認証RCEが成立し、すでに実環境での悪用が確認されてCISA KEVにも登録された脆弱性です。
本記事は、SOC運用・社内SE・情シスの方に向けて、ファイアウォール本体が攻撃面になる逆説的な状況を整理します。PAN-OS別の影響範囲、SOC初動の棚卸し手順、Threat Prevention によるシグネチャ検知、ログ確認ポイントまで「明日から動ける」レベルでまとめます。
2026年5月Palo Alto脆弱性の全体像
5月のアドバイザリは単発ではなく「波」として扱う必要があります。Palo Alto Networks Security Advisories の月次集計では、CVSS 9.3 の Critical 1件と CVSS 7.2 の HIGH 複数件が同月公開されました。
注目すべき2件のCVE
・CVE-2026-0265: PAN-OS Authentication Bypass with CAS (CVSS 7.2、HIGH)
・CVE-2026-0300: PAN-OS User-ID Authentication Portal Buffer Overflow (CVSS 9.3、Critical、KEV登録済)
このうちCVE-2026-0300は、Palo Alto Networks 自身が「実環境での悪用を確認した」と公式声明を出している点が決定的に重要です。米CISAは2026年5月6日にKEV (Known Exploited Vulnerabilities) カタログへ追加し、連邦機関には21日以内のパッチ適用または機能無効化を義務付けています。
同月公開の他CVE
CVSS 7.2 クラスでは、DNS Proxy/Server のヒープバッファオーバーフロー、IKEv2 処理のRCE、ネットワークトラフィック解析のDoS、認証管理者必要のコマンドインジェクションなどが同時公開されています。GlobalProtect App や Prisma SD-WAN ION 系の脆弱性も含まれており、PAN-OS本体だけでなく周辺コンポーネントも棚卸し対象です。
「ファイアウォール本体が攻撃面」の意味
ファイアウォールは本来、内部ネットワークを守る「壁」です。しかし管理インターフェース、認証ポータル、VPN ゲートウェイなど、外部から到達可能なコンポーネントが脆弱性を抱えれば、その瞬間に「壁」が「踏み台」に転じます。守る側のデバイスが攻撃面になる逆説は、ここ数年のNGFW・SSL-VPNの脆弱性事例で繰り返し見られた構図です。今回はその構図がPalo Alto Networks 製品で再び顕在化しました。
特にPalo Alto Networks は、国内大企業・準大企業の境界防御NGFWで広く採用されています。シェアの高さは利点であると同時に、攻撃者にとっても「投資対効果が高い研究対象」になることを意味します。1つの脆弱性で多数の組織を狙えるため、Critical級のCVEは公表直後に攻撃グループが活発化する傾向があります。今回の CVE-2026-0300 もまさに、公表前後から悪用が観測された事例です。
CVE-2026-0265: CAS認証バイパスの詳細
CVE-2026-0265 は、PAN-OS の Cloud Authentication Service (CAS) を有効化した環境で、未認証の攻撃者がネットワーク経由で認証制御をバイパスできる脆弱性です。
攻撃の前提条件
3つの条件がそろうと攻撃可能になります。
・条件1: CAS を有効化した認証プロファイルが存在する
・条件2: その認証プロファイルがログインインターフェースに接続されている
・条件3: 攻撃者がそのインターフェースにネットワーク到達できる
リスクは段階的です。管理インターフェース (Web UI / SSH) が CAS 認証で外部公開されている場合は最高リスク、信頼済みIPに制限されていれば中程度、内部限定なら低リスクという整理になります。Palo Alto Networks 公式アドバイザリも「管理インターフェースをインターネットに公開している環境が最も危険」と明記しています。
影響PAN-OSバージョンと修正版
PA-Series および VM-Series ファイアウォール、Panorama (仮想 / M-Series) が対象です。Cloud NGFW と Prisma Access は非影響です。
| PAN-OSメジャー | 影響範囲 | 修正版 (既リリース) | 修正版 (5/28予定) |
|---|---|---|---|
| 12.1 | 全バージョン | 12.1.4-h5以上 | 12.1.7以上 |
| 11.2 | 全バージョン | 11.2.4-h17以上 | 11.2.7-h13以上 |
| 11.1 | 全バージョン | 11.1.4-h33以上 | 11.1.15以上 |
| 10.2 | 全バージョン | 10.2.7-h34以上 | 10.2.18-h6以上 |
緩和策の優先順
パッチ適用が最優先ですが、即時適用が難しい場合の段階的緩和策があります。
・緩和1: 管理インターフェースアクセスを業務IPのみに制限
・緩和2: CASを無効化し、SAML または RADIUS 認証に切り替え
・緩和3: Threat Prevention 契約があれば Threat ID 510008 を有効化 (Apps and Threats content 9100-10044 以降、PAN-OS 11.2以上対応)
なお Palo Alto Networks 公式は「ベンダー提供の回避策ではなく、パッチ適用を優先せよ」と明記しています。緩和策は時間稼ぎであり恒久対策ではありません。
CVE-2026-0300: User-ID RCEと実環境悪用
CVE-2026-0300 は、PAN-OS の User-ID Authentication Portal (旧称 Captive Portal) サービスにおけるバッファオーバーフロー脆弱性です。CVSS v4 は 9.3 で、未認証・ユーザー操作不要で root 権限のRCEが成立する重大度です。
攻撃手法と取得権限
攻撃者は特殊細工パケットを User-ID Authentication Portal に送信するだけで、ファイアウォール上で任意コードを root 権限で実行できます。認証は一切不要で、ユーザー操作も不要です。ファイアウォールの管理者権限を奪取された場合、内部ネットワークへの全方位的なアクセスを許すことになります。
サイバーセキュリティの実務書として、こうした「境界デバイスを起点とした侵入」の事例研究には以下の書籍が体系的に役立ちます。 [PR]
生成AIによるサイバーセキュリティ実践ガイド (Clint Bodungen 著/IPUSIRON 監訳)
悪用状況とCISA KEV
Palo Alto Networks 自身が、限定的ながら User-ID Authentication Portal が非信頼IP・公衆インターネットに露出している環境を狙った悪用を 2026年5月初旬に確認したと公表しました。これを受け、CISA は 2026年5月6日に CVE-2026-0300 を KEV カタログへ追加しています。
国内企業に直接の法的義務はありませんが、KEV登録は「すでに攻撃者が活用している証拠がある」というシグナルです。社内のリスク管理プロセスでは「悪用報告あり」の最上位ランクとして扱うのが妥当です。
影響製品と緩和策
PA-Series および VM-Series ファイアウォールが対象です。Panorama、Cloud NGFW、Prisma Access は非影響です。User-ID Authentication Portal を有効化していない環境は影響を受けません。
修正版は 2026年5月13日からロールアウト開始、5月末までに順次提供されます。緩和策の優先順は次のとおりです。
・緩和1: User-ID Authentication Portal アクセスを信頼ゾーンのみに限定
・緩和2: 非信頼ゾーンでは Response Pages を無効化
・緩和3: 業務要件で不要であれば User-ID Authentication Portal 機能自体を無効化
特に注意すべきは「User-ID Authentication Portal を有効化していること自体に気付いていない」ケースです。Captive Portal 時代から継承された設定が、現在の運用要件と乖離したまま残っている組織は珍しくありません。設定棚卸しのタイミングで「本当にこの機能が必要か」を業務要件と突き合わせる作業が、二重三重の防御として効きます。
2件のCVE比較表
| 項目 | CVE-2026-0265 | CVE-2026-0300 |
|---|---|---|
| CVSS | 7.2 (HIGH) | 9.3 (Critical) |
| 種別 | 認証バイパス | バッファオーバーフロー (RCE) |
| 前提機能 | CAS 有効 | User-ID Authentication Portal 有効 |
| 取得権限 | 認証バイパス成功 | root 相当 |
| 悪用報告 | 未確認 | あり (CISA KEV登録済) |
| 対応優先度 | 段階的 (露出度次第) | 即時最優先 |
SOC初動アクション5ステップ
SOC運用・情シス1人体制の組織が、本アドバイザリ公開後 24~48時間で動くべき初動を 5つのステップに整理します。
ステップ1: 資産棚卸し
社内のPalo Alto Networks 製品を全件リストアップします。確認すべき項目は次のとおりです。
・製品種別: PA-Series / VM-Series / Panorama / Cloud NGFW / Prisma Access
・PAN-OSバージョン: メジャー (10.2/11.1/11.2/12.1) とマイナー (例: 11.2.4-h5)
・機能有効化状況: CAS、User-ID Authentication Portal、GlobalProtect Portal
・露出状況: 管理インターフェース・認証ポータルがインターネットから到達可能か
棚卸しは Panorama 管理下の機器であれば CLI で一括取得可能です。スタンドアロン運用なら、各機器で `show system info` および `show authentication-profile` を実行します。
ステップ2: 露出状況の外部スキャン
社外から到達可能なPalo Alto機器の管理ポート・認証ポータルを、Shodan や自社の外部スキャナーで確認します。意図せず公開されているケースが特に危険です。Palo Alto Networks Customer Support Portal の Device Telemetry 機能でも、機器ごとの設定リスクが可視化されます。
ステップ3: パッチ適用判断
CVE-2026-0300 (KEV登録済、CVSS 9.3) は即時パッチ適用が原則です。CVE-2026-0265 (CVSS 7.2) は管理インターフェース露出度に応じて優先度を決めます。社内のメンテナンスウィンドウ調整に時間がかかる場合は、ステップ4の検知ルール有効化を先行させます。
ステップ4: 検知ルール・シグネチャ有効化
Threat Prevention 契約がある環境では Threat ID 510008 を即時有効化します (CVE-2026-0265 対応)。User-ID Authentication Portal 関連の異常パケットも、Applications and Threats Content の最新版で検知シグネチャが順次追加されています。
ステップ5: ログ確認とハンティング
過去30日分のログから侵害の痕跡を確認します。チェックすべきログは次のとおりです。
・管理UI / SSH への異常な認証成功 (CAS経由)
・User-ID Authentication Portal への異常パケット (短時間多数の不正リクエスト)
・ファイアウォール自身からの外向き通信 (C2サーバーへの接続疑い)
・root 権限での設定変更履歴 (`show config audit`)
・予期しない管理者アカウントの追加・既存アカウントの権限昇格
・GlobalProtect ポータルや認証ポータルでの異常な接続元IP分布
SIEM 連携している環境なら、Palo Alto Networks 機器のログを過去90日分まで遡って相関分析にかけるのが望ましいです。特に「ファイアウォール自身からの外向き通信」は、機器が侵害された場合に最も検知しやすいシグナルなので、平時のベースラインを把握しておくと有効です。
ステップ6: 経営層・関連部門への報告 (任意)
CVE-2026-0300 は CISA KEV 登録済みの Critical 脆弱性です。情シスやSOCだけで完結させず、リスク管理部門・経営層に「対応中である旨」を一報入れておくと、後日の説明責任を果たしやすくなります。報告テンプレートとしては「該当機器の有無、影響範囲、対応完了予定日、想定リスク」を1ページにまとめれば十分です。
運用チェックリストとFAQ
運用チェックリスト (5項目)
・[ ] 社内の全Palo Alto機器のPAN-OSバージョン一覧を取得した
・[ ] CAS / User-ID Authentication Portal の有効化状況を全機器で確認した
・[ ] 管理インターフェース・認証ポータルの外部露出を確認した
・[ ] CVE-2026-0300 対象機器のパッチ適用または機能無効化を完了した
・[ ] Threat ID 510008 を有効化し、過去30日分のログをハンティングした
FAQ
Q1. Prisma Access や Cloud NGFW を使っていれば対象外ですか?
A. CVE-2026-0265 と CVE-2026-0300 については、Prisma Access と Cloud NGFW は非影響です。ただし同月公開の他CVE (GlobalProtect App、Prisma SD-WAN ION 等) は対象になる場合があるため、Palo Alto Networks Security Advisories の月次レビューを別途実施してください。
Q2. CAS を使っていなければ CVE-2026-0265 の影響は受けませんか?
A. 受けません。CAS有効化が攻撃の必須条件です。ただし将来CASを有効化する可能性があるなら、パッチを当てておくのが安全です。
Q3. User-ID Authentication Portal は Captive Portal と同じものですか?
A. 同じ機能の改名版です。古い設定画面や旧ドキュメントでは Captive Portal と表記されますが、機能としては同一です。
Q4. KEV登録された脆弱性は連邦機関以外も対応必須ですか?
A. 法的義務は連邦機関のみですが、KEV登録は「攻撃者がすでに使っている」シグナルなので、民間企業もリスクスコアの最上位として扱うのが業界標準です。
Q5. Threat ID 510008 を有効化すればパッチを当てなくて済みますか?
A. 一時的な緩和にはなりますが、恒久対策ではありません。Threat Prevention は新たな攻撃手法に追いつかない可能性があり、Palo Alto Networks 公式もパッチ適用を最優先と明言しています。
Q6. PAN-OS 10.1 以下を使っているのですが、修正版はありますか?
A. PAN-OS 10.1 以下はサポート対象外バージョンです。サポート終了 (EoL) 後の脆弱性パッチは原則提供されないため、サポート中バージョン (10.2/11.1/11.2/12.1) へのアップグレードを計画してください。
Q7. ログをチェックすべき期間はどれくらいですか?
A. CVE-2026-0300 は2026年5月初旬の悪用観測ですが、攻撃者がいつから探索していたかは不明です。実務的には最低30日、可能なら90日分のログを保持・確認してください。
セキュリティ運用の体系的なスキルアップに役立つ書籍として、Windows認証・認可・監査の仕組みを深く理解するなら以下が定評ある実務書です。 [PR]
Windowsセキュリティインターナル PowerShellで理解するWindowsの認証、認可、監査の仕組み (James Forshaw 著)
本記事のまとめ
2026年5月のPalo Alto Networks 複数脆弱性は、ファイアウォール本体が攻撃面に変わるという逆説的なリスクを改めて示しました。守る側のデバイスが踏み台になれば、その先にあるすべてのアセットが露出します。
優先すべきは次の3点です。1点目は CVE-2026-0300 (CVSS 9.3、KEV登録済) の即時対応。User-ID Authentication Portal を有効化したPA-Series / VM-Series 環境はパッチ適用または機能無効化を最優先で進めてください。2点目は CVE-2026-0265 (CVSS 7.2) の段階的対応。管理インターフェース露出度に応じて優先度を決め、Threat ID 510008 で時間を稼ぎながらパッチを当てます。3点目は資産棚卸しの常態化。Palo Alto Networks に限らず、境界デバイスの脆弱性アドバイザリは月次でレビューする運用にしてください。
不安を煽る必要はありません。やるべきことは明確で、棚卸し→露出確認→パッチ→検知ルールの順に粛々と進めれば、組織の防御態勢は確実に底上げできます。Linuxサーバーの権限管理や firewalld 設定との連携については姉妹サイトLinuxMaster.JPでも詳しく解説しています。
境界デバイスの脆弱性を、組織全体で正しく扱えていますか?
ファイアウォール・VPN・認証ポータルといった「守る側のデバイス」が攻撃面に変わる現代、SOC運用の優先順位設計は組織の死活を左右します。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
