
2026年5月13日、Palo Alto Networksは、PAN-OS GlobalProtectのポータルおよびゲートウェイコンポーネントに存在する認証バイパス脆弱性CVE-2026-0257を公開しました。公開からわずか4日後の5月17日には、すでに実際の攻撃が観測され始めました。5月29日にPoCコードが公開されると、攻撃は急速に拡大しました。同日、CISAは本脆弱性をKEVカタログに追加し、米国連邦機関に対して6月1日までに緩和策を講じるよう求めました。本脆弱性はCVSS v3.1で7.8(High)と評価されていますが、この数値は実際の危険性を大きく過小評価している可能性があります。認証されていないリモート攻撃者は、GlobalProtectポータルのTLS証明書に含まれる公開鍵を利用して認証バイパスクッキーを偽造し、MFAを含むすべての認証制御を回避したうえで、企業の内部ネットワークへVPN接続できる可能性があります。インターネットに公開されたGlobalProtectポータルが存在し、特定の証明書設定条件を満たしている環境では、攻撃者はアカウント情報を一切保有していなくても攻撃を実行できる可能性があります。
本記事では、CVE-2026-0257の技術的原因と、2段階にわたって観測された攻撃の波を分析し、外部に公開されたGlobalProtect資産がどのような攻撃対象領域を形成するのかを考察します。
CVE-2026-0257脆弱性の概要

| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-0257 |
| 影響を受ける製品 | PAN-OS GlobalProtect PortalおよびGateway |
| 脆弱性の種類 | 認証バイパス |
| CWE | CWE-565:クッキーの検証および完全性確認の不備 |
| CVSSスコア | 7.8(High)/NVD基準9.1(Critical) |
| 攻撃条件 | リモート攻撃可能、認証不要 |
| 影響範囲 | セキュリティ制限の回避、不正なVPN接続の確立 |
| 悪用状況 | 限定的な悪用試行を確認 |
CVE-2026-0257は、GlobalProtect PortalおよびGatewayにおいて認証バイパスが発生する可能性がある脆弱性です。攻撃者は、脆弱な構成条件を満たす機器を対象にセキュリティ制限を回避し、認証されていない状態でVPN接続を確立できる可能性があります。本脆弱性は、GlobalProtectのAuthentication Override Cookie機能に関連する構成で特に問題となります。Authentication Override Cookieは、ユーザーが一度認証を完了した後、特定の条件下で再認証の手間を軽減するために使用される機能です。しかし、クッキーの検証や完全性確認が十分に行われていない場合や、認証クッキーに使用する証明書が不適切に構成されている場合、攻撃者がこれを悪用し、正規の認証フローを回避する可能性があります。
特にVPNは、内部ネットワークへアクセスするための重要な境界システムです。そのため、認証バイパスによってVPN接続が可能になった場合、攻撃者は外部ユーザーのように見える一方で、実際には認証されていない状態のまま内部ネットワークへアクセスする機会を得る可能性があります。これは、一般的なWeb脆弱性よりも大きなリスクを伴います。
技術的原因:Authentication Override Cookieの検証不備
CVE-2026-0257は、GlobalProtectの「認証バイパスクッキー(Authentication Override Cookie)」機能に存在する設計上の不備に起因します。この機能が本来どのように動作し、どの部分に問題があるのかを理解することが重要です。
認証バイパスクッキーの本来の目的
GlobalProtectは、ユーザーが初回認証に成功すると、暗号化されたクッキーを発行します。以降、ユーザーはこのクッキーを提示することで、MFAや複雑な認証手順を毎回実行することなくVPNへ再接続できます。これは、多数のユーザーがリモート接続する環境において、ユーザー体験を向上させるための機能です。
問題点:同一証明書の再利用による公開鍵の露出
問題は、このクッキーの暗号化および復号に使用する証明書が、GlobalProtect PortalまたはGatewayのHTTPSサービス証明書と同一である場合に発生します。HTTPSサービスの公開鍵は、TLSハンドシェイクの過程で誰でも取得できます。攻撃者はGlobalProtectポータルへHTTPS接続を試み、証明書チェーンを収集したうえで、各証明書の公開鍵を利用して偽造した認証バイパスクッキーを生成します。決定的な問題は、サーバーがクッキーを復号する際に、完全性を保証するための署名検証を行わない点です。サーバーは、正しい鍵によって復号されたクッキーであれば、その内容を信頼します。そのため、攻撃者が生成した偽造クッキーも正規のクッキーと同様に処理される可能性があります。攻撃者は、クッキー内に任意のユーザー名(管理者アカウントを含む)を挿入でき、サーバーはこれを正常に認証されたセッションとして受け入れ、VPN接続を許可します。
この攻撃には、パスワードの窃取、MFAの直接的な突破、コード実行は必要ありません。インターネット経由でGlobalProtectポータルへアクセスできることが前提となり、公開PoCの登場後は攻撃手順が自動化されやすくなりました。そのため、脆弱な構成のGlobalProtect Portalは、短期間で大規模なスキャンの対象となる可能性があります。
攻撃の波:限定的な検知から大規模な拡散まで

<캡션: GlobalProtect認証バイパス脆弱性を悪用した攻撃の波を示したAI生成画像>
観測された実際の攻撃は、大きく2段階に分けて展開されました。
第1波(2026年5月17日~5月21日):PoC公開前の限定的な標的型攻撃
最初の攻撃は、脆弱性の公開(5月13日)からわずか4日後となる5月17日に始まりました。PoCコードがまだ公開されていなかった時期であることから、すでに技術的な原理を把握していた攻撃者によって実行された可能性があります。5月21日には、同一のMACアドレスを使用した2回目の小規模な攻撃が観測されました。これは、同一の脅威アクターによる活動であると分析されています。第2回目の小規模な攻撃では、クッキー認証後にVPN IPアドレスが割り当てられ、内部ネットワークへのアクセスに成功した事例も確認されました。
第2波(2026年5月30日以降):PoC公開後の大規模な自動化攻撃
5月29日にPoCコードが公開されると、翌日から攻撃件数が急増しました。この時期の攻撃は、VPSホスティングインフラを送信元とする自動化された探索活動から始まりました。一部の侵入事例では、IPSecトンネルが確立された直後に、Impacketツールを使用した内部SMBおよびNTLMの偵察活動が観測されました。これは、初期アクセスを取得した直後に内部ネットワークへの展開を試みるパターンであり、ランサムウェアグループと関連する脅威アクターの特徴とも一致します。注目すべき点は、クッキー認証は受け入れられたものの、完全なVPNセッション、すなわちVPN IPアドレスの割り当てまで成立しなかったケースが、被害環境の約80%を占めていたことです。これは、攻撃者が脆弱な環境の探索には成功したものの、最終的な内部ネットワークへの侵入に成功したケースは一部に限られていたことを示しています。ただし、ログ上でクッキー認証の受け入れイベントのみが確認された場合でも、攻撃試行として扱い、対応する必要があります。
Criminal IPで確認できる外部公開GlobalProtect Portal資産
CVE-2026-0257の実際のリスクを判断するには、脆弱性の有無を確認するだけでは不十分です。GlobalProtect PortalまたはGatewayが、公開インターネット上で識別可能な状態にあるかを確認する必要があります。Criminal IP IT資産検索では、HTMLタイトルを基にした検索条件を使用し、外部に公開されたGlobalProtect Portal資産を確認できます。

Criminal IP検索クエリ: title: GlobalProtect Portal
このクエリは、HTMLタイトルにGlobalProtect Portalという文字列が含まれる資産を識別するために使用できます。これは、外部からアクセス可能なWebインターフェースが、GlobalProtect Portalとして識別できる状態にあることを意味します。Criminal IP IT資産検索では、約16万件の関連資産が確認されました。GlobalProtect Portalは、VPNユーザーが内部ネットワークへアクセスする際の主要な接続ポイントです。そのため、公開インターネット上で識別可能な状態にある場合、攻撃者による自動化されたスキャンや脆弱性検証の対象となる可能性が高くなります。
特にCVE-2026-0257は、攻撃者が認証なしでセキュリティ制限を回避し、VPN接続を確立できる可能性がある脆弱性です。そのため、GlobalProtect Portalが外部に公開されていること自体が、重要なリスク判断基準となります。組織は、PAN-OSのバージョンだけを確認するのではなく、実際にどのGlobalProtect Portalがインターネット上で識別可能な状態にあるのかを優先的に確認する必要があります。
外部公開GlobalProtect Portalの個別資産分析

上記のクエリで確認された外部公開GlobalProtect Portal資産のうち、1件を詳細に分析しました。対象IPアドレスは、Criminal IPの分析において高いリスクを持つ資産として検知されました。当該資産は米国に位置していると判定され、セキュリティ項目では9件の開放ポートと2件の脆弱性が確認されました。外部に開放されていたポートは、TCP 4646、12292、12293、12294、12295、12296、12297、12298、12299です。このうち一部のポートには脆弱性情報も表示されており、単にVPNポータルが公開されているだけではなく、追加のサービスが外部に公開されている可能性もある資産として解釈できます。
この事例は、CVE-2026-0257への対応において、単に「GlobalProtect Portalが外部に公開されているか」を確認するだけでは不十分であることを示しています。外部公開状況に加えて、開放ポート、関連する脆弱性、SSL証明書の状態をあわせて分析することで、実際の攻撃リスクに基づいて、対応の優先順位を設定できます。特にGlobalProtect Portalは、内部ネットワークへアクセスするためのVPN境界資産です。このような資産がインターネット上で識別可能な状態にある場合、認証バイパス脆弱性の悪用有無にかかわらず、設定の点検とアクセス制限を直ちに検討する必要があります。
日本国内で外部公開されているGlobalProtect Portal資産
GlobalProtect Portalは、世界各国のリモートアクセス基盤で広く利用されています。国別の公開資産分布を確認することで、優先的に点検すべき地域や運用環境を把握できます。Criminal IP IT資産検索では、国別フィルターを使用して、特定の国に位置するGlobalProtect Portal資産を個別に確認できます。

Criminal IP検索クエリ: title: GlobalProtect Portal country: “JP”
このクエリでは、GlobalProtect Portal関連資産のうち、日本国内に位置すると識別された外部公開資産を確認できます。検索結果では、15,778件の資産が確認されました。日本では、企業のリモートワーク環境や拠点間接続、クラウドサービスへのアクセス基盤としてVPNが広く利用されているため、GlobalProtect PortalのようなVPN境界資産が多数観測される可能性があります。このような国別分析は、単なる統計以上の意味を持ちます。攻撃者は、特定の国、業界、クラウドインフラ、ホスティング帯域などを基準に攻撃対象を絞り込む可能性があります。セキュリティチームも同様の観点から、外部公開資産の優先順位を設定する必要があります。特にCVE-2026-0257のように実際の悪用が確認されている脆弱性では、日本国内の公開資産、パッチ適用状況、SSL証明書の状態、インバウンド脅威スコアをあわせて分析し、直ちに対応すべき資産を選別することが重要です。
パッチ状況および対応方法
CVE-2026-0257への対応は、脆弱なバージョンを確認するだけでは完了しません。GlobalProtect PortalとGatewayを同時に使用する環境では、両方のコンポーネントを一貫してアップデートする必要があります。また、Authentication Override Cookieを使用している場合は、認証クッキーの互換性に関する問題も考慮する必要があります。公式アドバイザリによると、影響を受けるPAN-OSバージョンには、10.2、11.1、11.2、12.1系統の一部が含まれており、各系統の修正版へアップグレードする必要があります。特にAuthentication Override Cookieを使用する環境では、すべてのGlobalProtect PortalおよびGatewayを推奨される修正版へ同時にアップデートすることが重要です。
優先的に実施すべき対応は、以下のとおりです。
- GlobalProtect PortalおよびGatewayの外部公開状況を確認
- PAN-OSのバージョンと修正版の適用可否を確認
- Authentication Override Cookieが有効になっているかを確認
- 認証クッキー専用の証明書が使用されているかを確認
- PortalまたはGatewayのHTTPS証明書と、認証クッキー用証明書を分離
- 不要なAuthentication Override機能を無効化
- すべてのGlobalProtect PortalおよびGatewayを推奨される修正版へアップグレード
- アップグレード後にユーザーの再認証が発生する可能性を事前に案内
- gateway-connectedイベントおよび公開IoCを基にログを確認
- 外部からアクセス可能なVPNポータルに対するアクセス制御を強化
公式の緩和策では、Authentication Override Cookie専用の証明書を新たに作成して安全に保管し、PortalまたはGatewayのHTTPS証明書と再利用しないことが推奨されています。また、業務上必須でない場合は、Authentication Override機能を無効化することが、リスクを直接的に低減する方法となります。パッチ適用後もログの点検が必要です。すでに攻撃者がgateway-connectedイベントを発生させていた場合、アップデートだけでは過去の接続履歴や内部アクセスの可能性を確認できないためです。そのため、パッチ適用、設定変更、ログ調査、外部公開状況の確認をあわせて実施する必要があります。
FAQ
Q1. CVE-2026-0257はCVSS 7.8(High)ですが、なぜ優先的に対応する必要があるのですか?
CVSS 7.8は、脆弱性の技術的な条件に基づいて算出されたスコアです。しかし、CVE-2026-0257は、認証なしでGlobalProtect VPN接続を確立できる可能性がある認証バイパス脆弱性であり、実際の悪用も確認されています。VPNは内部ネットワークへアクセスするための境界資産です。そのため、インターネットに公開されたGlobalProtect Portalに本脆弱性が存在する場合、単なるHigh評価を超える実質的なリスクとして扱う必要があります。
Q2. 攻撃者がVPN接続を確立した後、どのような行動を取る可能性がありますか?
実際に観測された侵入事例では、攻撃者がVPN IPアドレスを取得した直後に、Impacketツールを使用して内部SMBおよびNTLMトラフィックを発生させる偵察活動を行いました。これは、Active Directory環境の列挙、ドメインユーザーおよびコンピューター一覧の収集、認証ハッシュの取得へつながる可能性があります。また、ランサムウェアの展開やデータ窃取に先立つ偵察段階とも一致します。VPN認証バイパスは、内部ネットワークへの侵入を意味します。その後に攻撃者が実行できる行動の範囲は、内部ネットワークの分離状況やアクセス制御の強度によって異なります。
結論
CVE-2026-0257は、現代のネットワークセキュリティが抱える2つの重要な課題を示しています。
技術的な観点では、ユーザーの利便性を向上させるための認証バイパスクッキー機能が、証明書の再利用という一般的な設定慣行と組み合わさることで、すべての認証制御を無効化する攻撃経路となり得る点です。本脆弱性は、パスワードを盗んだり、MFAを直接突破したりするものではありません。サーバーが信頼するクッキーを偽造できるという、信頼モデルそのものの不備を悪用します。運用上の観点では、CVSS 7.8という数値によって「次回のパッチ対象」として扱われている間にも、実際の攻撃が進行していた点が重要です。脆弱性の公開からPoCの公開までの16日間、そしてPoC公開後も、攻撃活動は継続して観測されています。今回の事例が示す最も重要な教訓は、CVSSスコアのみではなく、実際の悪用状況と外部公開状況に基づいて、パッチ適用の優先順位を決定する必要があるという点です。
現在GlobalProtectを運用している組織が直ちに確認すべき事項は、主に2つあります。1つ目は、Authentication Override Cookieが有効になっているかどうかです。2つ目は、その証明書がほかの機能と共有されているかどうかです。この2つの条件を同時に満たしている場合、組織のVPNゲートウェイは、現在も自動化された攻撃の対象となっている可能性があります。
なお、関連してSonicWall SSL-VPN MFAバイパス脆弱性:パッチ完了と保護完了の間に残る攻撃対象領域の記事も参考にできます。
Criminal IP(criminalip.io/ja/register)に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), SC Media(https://www.scworld.com/news/pan-os-globalprotect-bug-actively-exploited-added-to-cisas-kev-list), TheHackerNews(https://thehackernews.com/2026/06/palo-alto-warns-of-active-exploitation.html), Cyber Security News(https://cybersecuritynews.com/palo-alto-vpn-vulnerability-exploited/)

