セキュリティの最前線に置かれるファイアウォール自身が、認証の「素通し口」になる——。JPCERT/CC は 5 月 22 日、Palo Alto Networks の PAN-OS に存在する認証回避の脆弱性 CVE-2026-0265 について注意喚起を出した。同社のファイアウォールや VPN ゲートウェイを支える OS そのものの欠陥であり、境界防御を任されているはずの機器が、逆に侵入の入口になりかねない。
署名検証の甘さが「鍵なしの解錠」を許す #
問題の核心は暗号署名の検証処理にある。PAN-OS の Cloud Authentication Service(CAS)が有効な構成では、本来なら正しい署名を持つ者しか通れない認証を、攻撃者が署名検証の不備を突いて回避できる。発見者である HacktronAI の研究者は、複数企業の GlobalProtect ポータルで実際に認証を突破し、VPN 接続まで確立してみせたと報告している。
CVSS は基本値 7.2(High)だが、管理インターフェースがインターネットに露出していると深刻度は最大化し、CVSS-B では 9.2 に達する。対象は PA シリーズ・VM シリーズのファイアウォールと Panorama で、PAN-OS 10.2 / 11.1 / 11.2 / 12.1 系の一定バージョン以下。Cloud NGFW と Prisma Access は影響を受けない。
「まだ悪用なし」は安全の保証ではない #
Palo Alto Networks は現時点で悪用は確認していないとするが、JPCERT/CC は「今後攻撃コードが公開され、悪用が国内で広がる可能性がある」と警告する。境界機器の認証回避は、ランサムウェア攻撃者が最も好む初期侵入経路だ。過去の PAN-OS ゼロデイがパッチ公開直後に一斉スキャンの的になった経緯を踏まえれば、「PoC が出てから対応」では確実に遅い。
修正版(例: 12.1.7 以降)へ即時アップデート。難しい場合は CAS を無効化して SAML/RADIUS に切り替え、管理インターフェースは信頼できる内部 IP のみに限定する。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。