PAN-OS CVE-2026-0257｜GlobalProtect 認証バイパスの悪用と対処

はじめに

2026 年 5 月 13 日（公開日表記は環境により 5/14）、Palo Alto Networks より PAN-OS の GlobalProtect Portal / Gateway に存在する認証バイパス脆弱性 CVE-2026-0257 が公開されました。当初は一部で Medium と報じられていましたが、5 月下旬に実環境での悪用が確認され、Severity は HIGH（CVSS 7.8）・Exploit Maturity は ATTACKED に更新されました。本記事執筆時点では CISA の Known Exploited Vulnerabilities (KEV) カタログにも収載され、連邦民間機関に対して 2026 年 6 月 1 日までの是正が命じられている状況です。

本脆弱性は、GlobalProtect の authentication override Cookie（再認証を省略するためのセッション Cookie）の検証に欠陥があり、特定の証明書設定が存在する環境で、未認証の攻撃者が Cookie を偽造して不正な VPN 接続を確立できるものです。インターネットに公開されたリモートアクセス VPN という攻撃者にとって魅力的な初期侵入経路であり、5 月初旬に公開された CVE-2026-0300（User-ID Authentication Portal の BoF）・CVE-2026-0265（CAS の認証バイパス）と並ぶ 2026 年 5 月の PAN-OS 管理・認証系脆弱性の 1 つとして、運用環境での優先的な対応が求められます。

本記事では、CVE-2026-0257 の技術的な概要と攻撃メカニズム、影響を受ける構成条件、自社環境の確認手順、そして緩和策（認証 override 専用証明書の発行、authentication override の無効化）と恒久対処、侵害有無の確認までを実務目線で整理します。

CVE-2026-0257（GlobalProtect 認証バイパス）の概要

CVE-2026-0257 は、PAN-OS の GlobalProtect Portal / Gateway における Cookie の検証・整合性チェックの欠如（CWE-565: Reliance on Cookies without Validation and Integrity Checking）に起因する認証バイパス脆弱性です。authentication override Cookie の復号後に署名検証が行われないため、特定の証明書設定下では攻撃者が有効な Cookie を偽造でき、認証を完全にバイパスして不正な VPN 接続を確立できます。

脆弱性の基本情報

Palo Alto Networks の公式アドバイザリでは、本脆弱性について以下のように説明されています。

参考: Palo Alto Networks Security Advisory CVE-2026-0257
“Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OS® software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection.”
（Palo Alto Networks PAN-OS ソフトウェアの GlobalProtect Portal および Gateway における認証バイパス脆弱性により、攻撃者がセキュリティ制限をバイパスし、不正な VPN 接続を確立し得ます。）
https://security.paloaltonetworks.com/CVE-2026-0257

本脆弱性の特徴を整理すると次の通りです。

Subsequent（後続システム）への影響が Confidentiality / Integrity ともに HIGH となっている点が本脆弱性の本質です。これは「VPN 認証をバイパスされた結果、その先の内部ネットワークへ正規 VPN ユーザーと同等のアクセスを許す」という、初期侵入経路としての深刻さを表しています。

authentication override Cookie とは

authentication override は、GlobalProtect の利用者が接続のたびに認証情報を再入力しなくて済むよう、認証済みユーザーにセッション Cookie を発行する機能です。Portal で Cookie を生成し、Gateway がその Cookie を受け入れることで、再認証を省略します。bearer token に似た仕組みで、デフォルトでは無効の任意機能です。

この Cookie は、設定された証明書の鍵で暗号化・復号されます。GUI 上の設定パスは次の通りです。

Portal 側

Network > GlobalProtect > Portals → Agent → Authentication →「Generate cookie for authentication override」、および「Certificate to Encrypt/Decrypt Cookie」

Gateway 側

Network > GlobalProtect > Gateways → Agent → Client Settings → Authentication Override →「Accept cookie for authentication override」、および同証明書の指定

参考: Palo Alto Networks Knowledgebase – Steps to Enable Cookie Authentication for GlobalProtect
“Select Certificate to Encrypt/Decrypt Cookie (NOTE: This certificate needs to be the same one that was selected in the Portal.)”
（Cookie を暗号化 / 復号する証明書を選択します（注: この証明書は Portal で選択したものと同一である必要があります）。）
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boODCAY

仕様上、Portal と Gateway では Cookie 暗号化 / 復号用に同一の証明書を指定する必要がある点が、後述の攻撃条件と関わってきます。

攻撃メカニズム: 証明書共有 → 公開鍵取得 → Cookie 偽造

本脆弱性の核心は、GlobalProtect サービスを実装する /usr/local/bin/gpsvc バイナリが、Cookie を復号した後にその内容の署名検証を行わない点にあります。Rapid7 の解析によれば、攻撃の流れは次の通りです。

参考: Rapid7 – Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability (CVE-2026-0257)
“If a GlobalProtect portal or gateway has reused the certificate for encrypting and decrypting cookies with another feature, such as the HTTPS service of the portal or gateway, then a remote unauthenticated attacker can discover the public key for that certificate. In doing so the attacker will be able to successfully forge and encrypt arbitrary authentication override cookies.”
（GlobalProtect の Portal または Gateway が、Cookie の暗号化 / 復号用証明書を HTTPS サービスなど他機能と共有している場合、リモートの未認証攻撃者がその証明書の公開鍵を取得できます。これにより、攻撃者は任意の認証 override Cookie を偽造・暗号化できます。）
https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/

つまり、攻撃成立の鍵は「authentication override が有効」かつ「Cookie 用証明書が HTTPS サービス等と共有されている」という 2 条件にあります。この 2 条件が揃わない環境では本脆弱性の影響を受けません。

逆にこの条件が揃っており、かつ GlobalProtect がインターネットに公開されている場合、攻撃者は事前の認証情報なしに内部ネットワークへの足がかりを得られます。

CISA KEV 収載と実環境での悪用

本脆弱性は、公開当初こそ実環境での悪用は確認されていませんでしたが、5 月下旬に複数の組織で実際の悪用が確認されました。Rapid7 MDR は、2 度にわたる攻撃ウェーブを観測しています。

参考: Rapid7 – Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability (CVE-2026-0257)
“Rapid7 MDR identified successful exploitation across numerous customers… The earliest date for observed exploitation was May 17, 2026.”
（Rapid7 MDR は複数の顧客で悪用の成功を確認しました。観測された最も古い悪用は 2026 年 5 月 17 日でした。）
https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/

観測された攻撃の特徴は次の通りです。

第 1 波（5 月 18 日頃〜）

Vultr のホスティングインフラを起点とした攻撃

第 2 波（5 月 21 日〜）

Dromatics Systems のホスティングインフラを起点とした攻撃。Cookie 認証後に VPN IP が割り当てられ、内部ネットワークへのアクセスが成立

共通点

両波とも一貫した（偽装）MAC アドレスを使用しており、Rapid7 は同一の攻撃者によるものと推測

影響構成の共通項

Cloud Authentication Service (CAS) が無効、かつ authentication override Cookie が有効で、Cookie 証明書が HTTPS サービスと共有されている。

この実被害を受けて、CISA は本脆弱性を KEV カタログに追加し、連邦民間機関に 2026 年 6 月 1 日までの是正を命じています。CVSS 数値（7.8）は HIGH ですが、実際に悪用が継続しているインターネット公開 VPN の認証バイパスである以上、数値以上に優先度の高い案件として扱うことが推奨されます。

影響を受ける条件と対象バージョン

CVE-2026-0257 は、GlobalProtect を構成しているすべての PAN-OS が一律に影響を受けるわけではなく、特定の 2 つの設定条件が揃った環境のみが攻撃対象となります。まず自社環境がその条件に該当するかを正しく見極めることが、対処の優先度判断の起点となります。

影響を受ける 2 つの設定条件

公式アドバイザリでは、本脆弱性の影響を受ける条件が以下のように示されています。

参考: Palo Alto Networks Security Advisory CVE-2026-0257 – Required Configuration for Exposure
“This issue affects firewalls with GlobalProtect portal or gateway configured when authentication override cookies are enabled and a specific certificate configuration exists.”
（本問題は、GlobalProtect Portal または Gateway が構成され、authentication override Cookie が有効化されており、かつ特定の証明書設定が存在するファイアウォールに影響します。）
https://security.paloaltonetworks.com/CVE-2026-0257

整理すると、次の 2 条件が同時に成立する場合に脆弱な状態となります。

authentication override Cookie が有効

GlobalProtect Portal で「Generate cookie for authentication override」、または Gateway で「Accept cookie for authentication override」が有効化されている。

Cookie 暗号化 / 復号証明書が他機能と共有されている

その Cookie 用証明書が、Portal / Gateway の HTTPS サービスなど外部からアクセス可能な機能と同じ証明書を使い回している。

特に重要なのが 2 つ目の条件です。Rapid7 の実環境調査でも、影響を受けた構成にはいずれも「CAS が無効」「authentication override Cookie が有効」「Cookie 証明書が HTTPS サービスと共有」という共通項が見られました。

authentication override 機能自体はデフォルト無効の任意機能であるため、そもそも本機能を利用していない環境は本脆弱性の影響を受けません。

影響対象 / 非対象となる製品

公式アドバイザリでは、影響範囲が以下のように整理されています。

参考: Palo Alto Networks Security Advisory CVE-2026-0257
“Panorama and Cloud NGFW are not impacted by these issues.”
（Panorama および Cloud NGFW は本問題の影響を受けません。）
https://security.paloaltonetworks.com/CVE-2026-0257

ここで、直近の PAN-OS 脆弱性との影響範囲の違いを整理しておきます。CVE-2026-0265（CAS 認証バイパス）は Panorama も影響対象でしたが、本件 CVE-2026-0257 では Panorama は影響対象外となります。

これは本脆弱性が GlobalProtect の Cookie 処理に固有であり、Panorama が GlobalProtect Gateway / Portal を直接終端しないためと考えられます。一方で、Prisma Access が影響対象に含まれる点は本件の特徴です。Prisma Access については Palo Alto Networks 側で顧客向けのアップグレードが進行中とされています。

バージョン別の修正版一覧

公式アドバイザリで提示されている修正版は次の通りです。CVE-2026-0300 / CVE-2026-0265 と修正版の系列が大きく重なっており、5 月の PAN-OS 脆弱性 3 件をまとめて解消できるバージョンが存在します。

ホットフィックスのバージョン体系は CVE-2026-0300 / CVE-2026-0265 とほぼ共通しており、例えば 11.1.15 / 11.2.12 / 10.2.18-h6 などへアップグレードすることで、5 月公開の PAN-OS 管理・認証系脆弱性を一括で解消できます。これら兄弟脆弱性の詳細は、関連記事『PAN-OS CVE-2026-0300｜User-ID Authentication Portal の緊急対処手順』『PAN-OS CVE-2026-0265｜Cloud Authentication Service の認証バイパス対処』も参考になります。

ただし、各 CVE で要求される最小ホットフィックスのバージョンが微妙に異なる点には注意が必要です。例えば 12.1 系では CVE-2026-0265 が 12.1.4-h5 以上であるのに対し、本件 CVE-2026-0257 は 12.1.4-h6 以上を要求します。複数 CVE を一括対処する際は、それぞれの CVE が要求するバージョンのうち最も新しいものを選定することが推奨されます。

自社の PAN-OS バージョン確認方法

GUI から確認する場合

Dashboard タブの「General Information」ウィジェット内、Software Version 項目で現在のバージョンが表示されます。

CLI から確認する場合

> show system info | match sw-version

自社環境が脆弱な構成かどうかの確認手順

CVE-2026-0257 への対処を判断するうえで最初に行うべきは、authentication override Cookie が有効になっているかどうかの確認です。公式アドバイザリは Portal 側・Gateway 側それぞれの確認手順を明示しています。

Portal 側の確認手順

公式アドバイザリに沿って、GlobalProtect Portal の設定を確認します。

参考: Palo Alto Networks Security Advisory CVE-2026-0257 – Required Configuration for Exposure
“On the Portal: Navigate to Network > GlobalProtect > Portals… Go to the Authentication tab… Generate cookie for authentication override or Accept cookie for authentication override options are checked.”
（Portal 側: Network > GlobalProtect > Portals に移動し、Authentication タブで「Generate cookie for authentication override」または「Accept cookie for authentication override」が有効になっているかを確認します。）
https://security.paloaltonetworks.com/CVE-2026-0257

具体的な操作手順は次の通りです。

1. 管理 UI で Network > GlobalProtect > Portals に移動
2. 対象の Portal 名をクリックし、Agent タブを開く
3. 対象の Agent Configuration プロファイルをクリック
4. Authentication タブを開く
5. 「Generate cookie for authentication override」または「Accept cookie for authentication override」にチェックが入っているかを確認

Gateway 側の確認手順

1. 管理 UI で Network > GlobalProtect > Gateways に移動
2. 対象の Gateway 名をクリックし、Agent タブを開く
3. 対象の Client Settings プロファイルをクリック
4. Authentication Override タブを開く
5. 「Accept cookie for authentication override」にチェックが入っているかを確認

これらの確認でいずれの設定にもチェックが入っていなければ、本脆弱性の影響を受けません。逆にチェックが入っている場合は、次の証明書共有の確認に進みます。

証明書共有の有無の確認

authentication override Cookie が有効である場合、次に Cookie の暗号化 / 復号に使われている証明書が、他の機能（特に Portal / Gateway の HTTPS サービス）と共有されていないかを確認します。これが本脆弱性の成立を左右する決定的な条件です。

確認の観点は次の通りです。

Cookie 用証明書の特定

Portal の Agent > Authentication タブ、および Gateway の Authentication Override タブで指定されている「Certificate to Encrypt/Decrypt Cookie」の証明書名を確認

GlobalProtect の TLS プロファイル証明書との照合

Network > GlobalProtect > Portals（および Gateways）の General 設定で指定されている SSL/TLS Service Profile が参照する証明書を確認

両者が同一かどうかの判定

Cookie 用証明書と HTTPS サービス用証明書が同一であれば、攻撃者が HTTPS セッションから公開鍵を取得して Cookie を偽造できる脆弱な構成となります

参考: Palo Alto Networks Security Advisory CVE-2026-0257 – Workarounds and Mitigations
“Generate a new certificate exclusively for authentication override cookies and store it securely. Do not reuse the portal or gateway certificate, and do not share this certificate with other features or users.”
（authentication override Cookie 専用の新しい証明書を生成し、安全に保管してください。Portal または Gateway の証明書を使い回さず、この証明書を他の機能やユーザーと共有しないでください。）
https://security.paloaltonetworks.com/CVE-2026-0257

証明書が共有されている場合は脆弱性が成立し得る構成であり、後述の緩和策（専用証明書の発行、または authentication override の無効化）と修正版へのアップグレードを優先的に検討することが推奨されます。仮に証明書が共有されていない構成であっても、実環境での悪用が継続している以上、修正版へのアップグレードによる恒久対処を計画することが推奨されます。

確認結果に応じた対応の整理

ここまでの確認結果に応じて、対応の優先度は次のように整理できます。

なお、ここで紹介した GUI パスは公式アドバイザリおよび PAN-OS のドキュメントに基づいています。PAN-OS のメジャーバージョンによってメニュー表記や階層が変動する場合があるため、本番環境での確認・適用前には運用バージョンの公式リファレンスでパスを再確認することが推奨されます。

緊急対処と緩和策

CVE-2026-0257 は 実環境での悪用が継続しているため、対処の緊急度は高くなります。Palo Alto Networks は修正版へのアップグレードを恒久対策として案内するとともに、すぐにアップグレードできない環境向けに 2 つの暫定緩和策を提示しています。本記事執筆時点では PoC スクリプトも公開されているため、「修正版アップグレード」と「即時適用可能な暫定緩和策」を並行して進めることが推奨されます。

恒久対処: 修正版へのアップグレード

最も確実な対処は、前章のバージョン表に従って修正版 PAN-OS へアップグレードすることです。実環境での悪用が確認されている以上、証明書共有の有無にかかわらず、修正版への移行を優先的に計画することが推奨されます。

アップグレード後の全 GP ユーザー再認証の一時要件

本件のアップグレードには、運用上把握しておくべき重要な副作用があります。公式アドバイザリは次のように案内しています。

参考: Palo Alto Networks Security Advisory CVE-2026-0257 – Solution
“With this fix, if the firewall is configured to use an authentication override cookie for the GlobalProtect Portal or Gateway, it will regenerate the cookie using a more secure method. Therefore, GP users will need to re-authenticate after a PAN-OS upgrade, even if a valid cookie is present. This is a one time requirement.”
（この修正により、ファイアウォールが GlobalProtect Portal / Gateway で authentication override Cookie を使用する構成の場合、より安全な方式で Cookie を再生成します。そのため、GP ユーザーは有効な Cookie を保持していても、PAN-OS アップグレード後に再認証が必要となります。これは一度限りの要件です。）
https://security.paloaltonetworks.com/CVE-2026-0257

つまり、修正版適用後は、authentication override を利用していた全 GlobalProtect ユーザーが一度だけ再認証を求められることになります。これは Cookie の生成方式が安全なものに切り替わるための仕様です。

大規模に GlobalProtect を展開している環境では、アップグレード直後にユーザーからの「再ログインが必要になった」という問い合わせが集中する可能性があるため、アップグレード前にヘルプデスクや利用者へ事前周知しておくことが、運用混乱を避けるうえで有効です。再認証は一度限りで、その後は従来通り Cookie が機能します。

暫定緩和策 1: 認証 override 専用証明書の発行

authentication override 機能を引き続き利用したい場合の緩和策が、Cookie 暗号化 / 復号専用の証明書を新規発行し、他機能と共有しない方法です。

参考: Palo Alto Networks Security Advisory CVE-2026-0257 – Workarounds and Mitigations
“Use a dedicated certificate for Authentication Override cookies: Generate a new certificate exclusively for authentication override cookies and store it securely. Do not reuse the portal or gateway certificate, and do not share this certificate with other features or users.”
（authentication override Cookie 専用の証明書を使用します: authentication override Cookie 専用の新しい証明書を生成し、安全に保管してください。Portal / Gateway の証明書を使い回さず、この証明書を他の機能やユーザーと共有しないでください。）
https://security.paloaltonetworks.com/CVE-2026-0257

この緩和策の要点は、Cookie 用証明書を HTTPS サービスなど外部からアクセス可能な機能と分離することにあります。攻撃者が HTTPS セッションから取得できる公開鍵と、Cookie 暗号化に使われる証明書の公開鍵が別物になれば、Cookie の偽造が成立しなくなります。

実装の方向性は次の通りです。

ただし、この緩和策は設定変更の正確性に依存するため、適用後に Cookie 用証明書が確実に他機能と分離されているかを再確認することが推奨されます。確実性を重視する場合は、後述の「authentication override の無効化」または修正版アップグレードの方が、設定ミスのリスクが少ない対処となります。

暫定緩和策 2: authentication override の無効化

authentication override 機能を運用上必要としていない環境では、機能自体を無効化することが最も確実な暫定緩和策です。これにより本脆弱性の攻撃面そのものが排除されます。

参考: Palo Alto Networks Security Advisory CVE-2026-0257 – Workarounds and Mitigations
“Disable Authentication Override: Uncheck the Authentication Override options (for generating and accepting cookies) in the GlobalProtect portal and gateway configuration.”
（authentication override の無効化: GlobalProtect Portal / Gateway 設定で、authentication override のオプション（Cookie の生成および受け入れ）のチェックを外します。）
https://security.paloaltonetworks.com/CVE-2026-0257

無効化の手順は次の通りです。

無効化に伴う運用影響として、authentication override は「接続のたびの再認証を省略する」機能であるため、無効化すると利用者は接続のたびに認証情報の入力（または証明書認証 / MFA）が必要になります。利便性は低下しますが、攻撃面を完全に排除できるため、実環境での悪用が継続している状況下では、利便性よりもリスク低減を優先する判断が現実的です。authentication override を本当に必要としているかを棚卸しし、不要であればこの機会に恒久的に無効化することも選択肢となります。

暫定緩和策 3: GlobalProtect / 管理 IF のアクセス制御

本脆弱性の攻撃前提は「GlobalProtect Portal / Gateway へのネットワークアクセス」です。GlobalProtect は性質上インターネット公開が前提となるサービスですが、管理インターフェースについては、CVE-2026-0300 / CVE-2026-0265 と同様にアクセス元 IP を信頼できる範囲に制限することが、PAN-OS 全体のセキュリティポスチャ強化として有効です。

GlobalProtect Gateway 自体のアクセス制限は VPN の可用性とトレードオフになるため難しい一方、次のような多層的な防御を組み合わせる余地があります。

• 既知の悪性インフラ（Rapid7 が観測した Vultr / Dromatics Systems の該当 IP レンジ等）からのアクセスを上位 FW でブロック
• GlobalProtect の地域制限（特定国からのアクセスのみ許可する Geo フィルタリング）の活用
• 管理 IF へのアクセス元 IP 制限（兄弟脆弱性と共通の恒常的対策）

これら管理 IF のアクセス制限の考え方は、関連記事『PAN-OS CVE-2026-0265｜Cloud Authentication Service の認証バイパス対処』でも整理しています。

緩和策の優先順位

実環境での悪用が継続している状況を踏まえた優先順位の目安は次の通りです。

1. 修正版 PAN-OS へのアップグレードを最優先で計画（恒久対処。実被害が出ているため最優先）
2. アップグレードまでの間、authentication override が不要なら無効化（攻撃面を完全排除、最も確実）
3. authentication override が必要なら、Cookie 専用証明書へ分離（設定変更の正確性に注意）
4. GlobalProtect / 管理 IF のアクセス制御を多層で重ねる

侵害有無の確認とアップグレード後の留意点

本脆弱性は既に悪用が確認されているため、「これから守る」だけでなく「すでに侵害されていないか」を確認することが重要です。アップグレードや緩和策の適用と並行して、過去のログを遡った侵害有無の調査を行うことが推奨されます。

侵害痕跡（IOC）の調査ポイント

Rapid7 が公開した観測情報に基づき、次の観点で侵害痕跡を確認することが推奨されます。

偽造 Cookie による認証イベント

GlobalProtect Gateway のログで、authentication override Cookie によって認証された VPN セッションのうち、対応する正規の認証イベント（初回ログイン）が存在しないものを確認。正規フローでは「初回認証 → Cookie 発行 → Cookie 利用」の順となるため、初回認証なしに Cookie 認証だけが現れるものは偽造 Cookie の疑いがある

ローカル管理者アカウントへの Cookie 認証

観測された攻撃はローカル管理者アカウントを標的とした偽造 Cookieを使用していた。admin などのローカル管理者アカウントが GlobalProtect 経由で Cookie 認証されている痕跡は要確認

偽装 MAC アドレス

攻撃者は両攻撃ウェーブで一貫した（偽装）MAC アドレスを使用していた。VPN セッションのクライアント MAC アドレスに不審な共通値がないかを確認

既知の悪性インフラからの接続

第 1 波は Vultr、第 2 波は Dromatics Systems のホスティングインフラを起点としていた。これらのホスティングプロバイダの IP レンジからの GlobalProtect 接続を確認

不審な送信元 IP / 地理的位置からのセッション

通常の利用者と異なる送信元 IP・国・ASN からの GlobalProtect セッション確立

参考: Rapid7 – Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability (CVE-2026-0257)
“The earliest date for observed exploitation was May 17, 2026… In 8 out of 10 impacted MDR customers, the appliance accepted the forged cookie without a full VPN session being established.”
（観測された悪用の最も古い日付は 2026 年 5 月 17 日でした。影響を受けた MDR 顧客 10 社のうち 8 社では、アプライアンスは偽造 Cookie を受け入れたものの、完全な VPN セッションは確立されませんでした。）
https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/

なお、Rapid7 の観測では 10 社中 8 社は偽造 Cookie が受理されたものの完全な VPN セッション確立には至らなかったとされていますが、第 2 波では一部の被害者で VPN IP が割り当てられ内部ネットワークへのアクセスが成立しています。「Cookie 認証の試行痕跡があるが VPN セッションは未確立」というケースでも、攻撃を受けた事実は変わらないため、調査対象に含めることが推奨されます。

調査範囲は、Rapid7 が観測した最古の悪用日（2026 年 5 月 17 日）よりも前の期間を含めて遡ることが推奨されます。攻撃者が観測されていない初期の試行が存在する可能性を考慮し、authentication override Cookie を有効化していた全期間を対象とする慎重な姿勢が望まれます。

PoC が公開されている点への留意

本脆弱性は、Rapid7 の研究者により実証用の PoC スクリプトが公開されています。これは防御側が自社アプライアンスの脆弱性有無を検証するための正当なツールですが、同時に攻撃のハードルが下がっていることも意味します。PoC は対象の証明書チェーンを取得し、各証明書の公開鍵で Cookie 偽造を試行して受理されるかを判定する仕組みです。

防御側としては、この PoC を自組織のステージング環境や許可された検証環境で利用し、自社の GlobalProtect が偽造 Cookie を受理する脆弱な構成かどうかを確認することも、リスク評価の有効な手段となります。ただし、本番環境や許可のない対象への使用は避け、自組織の管理下にあるシステムに対してのみ、適切な承認のもとで実施することが前提です。

アップグレード後の動作確認ポイント

修正版へのアップグレードまたは緩和策の適用後は、以下の観点で正常性を確認することが推奨されます。

特に、アップグレード後は全 GP ユーザーの一度限りの再認証が発生するため、再認証が正常に完了し、利用者が VPN 接続を回復できているかを確認することが運用上重要です。再認証に伴う問い合わせ増加に備え、サポート体制を一時的に強化しておくことも有効です。

まとめ

CVE-2026-0257 は、PAN-OS の GlobalProtect における authentication override Cookie の検証欠如（CWE-565）に起因する認証バイパス脆弱性です。実環境での悪用が確認され、CISA KEV にも収載された緊急性の高い案件です。本記事の要点を整理します。

• 実環境で悪用が継続中（ATTACKED）、CISA KEV 収載で是正期限は 2026 年 6 月 1 日
• 影響条件は authentication override 有効、かつ Cookie 証明書を HTTPS 等と共有
• 影響対象は PA-Series / VM-Series / Prisma Access、Panorama は対象外
• gpsvc が Cookie 復号後に署名検証せず、共有証明書の公開鍵で偽造が成立
• 対処はまず修正版アップグレード、次に override 無効化または専用証明書へ分離
• アップグレード後は全 GP ユーザーが一度だけ再認証を要するため事前周知が有効
• 既に悪用されており、5 月 17 日以前まで遡った侵害有無の調査が推奨される

以上、最後までお読みいただきありがとうございました。