Palo Alto Networks PAN-OSの認証回避脆弱性とは?VPN利用企業が確認すべきポイント

2026年5月、Palo Alto Networksは、同社のファイアウォール製品などで使われる PAN-OS において、認証回避につながる脆弱性 CVE-2026-0265 を公表しました。

この脆弱性は、Cloud Authentication Service、いわゆるCASが有効になっている環境で問題になります。条件を満たす環境では、ネットワーク経由でアクセス可能な第三者が、PAN-OSの認証制御を回避できる可能性があります。Palo Alto Networksは、この脆弱性の深刻度を HIGH、CVSS 7.2 としています。

JPCERT/CCも2026年5月22日に注意喚起を公開しており、RSS取得結果にも「Palo Alto Networks製PAN-OSにおける認証回避の脆弱性(CVE-2026-0265)」が記事候補として含まれていました。

特に注意したいのは、Palo Alto Networks製品が多くの企業でVPNや境界防御に使われている点です。
もし認証を回避されると、単なる「機器の不具合」ではなく、社内ネットワークへの入口が狙われるリスクにつながります。


今回の脆弱性CVE-2026-0265とは

CVE-2026-0265は、PAN-OSにおける認証回避の脆弱性です。

Palo Alto Networksの説明によると、Cloud Authentication Service、つまりCASが有効な場合、認証されていない攻撃者がネットワーク経由で認証制御を回避できる可能性があります。影響を受けるのは、PA-Series、VM-Seriesファイアウォール、Panoramaの仮想版およびM-Seriesです。一方で、Cloud NGFWとPrisma Accessはこの脆弱性の影響を受けないとされています。

今回のポイントは、次の3つです。

項目内容
CVE番号CVE-2026-0265
影響PAN-OSの認証回避
条件Cloud Authentication Service、CASが有効
深刻度HIGH、CVSS 7.2
悪用状況Palo Alto Networksは悪用を認識していないと説明
影響対象PA-Series、VM-Series、Panorama
影響なしCloud NGFW、Prisma Access

Palo Alto Networksは、現時点でこの脆弱性の悪意ある悪用は認識していないとしています。ただし、JPCERT/CCは、詳細解説が公表されたことにより、今後攻撃コードが公開され、国内で悪用が広がる可能性があるとして注意を促しています。


なぜVPN利用企業は注意すべきなのか

今回の脆弱性が重要なのは、PAN-OSが単なる社内システムではなく、企業ネットワークの入口に置かれることが多いからです。

Palo Alto Networks製ファイアウォールは、境界防御、リモートアクセス、GlobalProtectによるVPN接続、管理インターフェースの認証など、企業の外部接点に関わる場面で使われます。

JPCERT/CCは、海外セキュリティ企業がこの脆弱性の詳細解説を公表し、GlobalProtectの認証を回避してVPN接続が可能であることを示していると説明しています。

つまり、攻撃者にとっては、次のようなリスクにつながる可能性があります。

想定されるリスク内容
VPN認証の回避正規ユーザーとして認証されずに接続されるおそれ
社内ネットワークへの侵入VPN経由で内部リソースに近づかれる可能性
管理インターフェースの悪用設定変更や情報取得につながるおそれ
認証基盤への信頼低下CAS利用環境の認証設計そのものを見直す必要
横展開の起点化侵入後に社内サーバや認証情報を狙われる可能性

VPNは「安全に社内へ入るための入口」です。
しかし、その入口の認証が回避される可能性がある場合、企業は通常の脆弱性対応よりも慎重に確認する必要があります。


影響を受ける条件

この脆弱性は、PAN-OSを使っていれば必ず影響を受けるというものではありません。

Palo Alto Networksは、影響を受ける条件として、以下の2点を示しています。

  1. CASを使ったAuthentication Profileが有効であること
  2. そのAuthentication Profileがログインインターフェースに紐づいていること

確認対象としては、PAN-OS管理画面、Authentication Portal、GlobalProtect Gateway、GlobalProtect Portalなどが挙げられています。

特にリスクが高いのは、管理インターフェースでCASを有効にしており、さらにその管理画面が外部IPアドレスやインターネットから到達可能な環境です。Palo Alto Networksも、管理インターフェースへのアクセスを信頼済み内部IPアドレスのみに制限することで、リスクを大きく下げられると説明しています。


対象バージョン

Palo Alto Networksが公表している対象バージョンは、PAN-OS 12.1、11.2、11.1、10.2系にまたがります。

代表的な修正済みバージョンは以下です。

系統対策の目安
PAN-OS 12.112.1.7以降、または12.1.4-h5以降
PAN-OS 11.211.2.12以降、または各修正済みhotfix
PAN-OS 11.111.1.15以降、または各修正済みhotfix
PAN-OS 10.210.2.18-h6以降、または各修正済みhotfix
サポート外バージョンサポート対象の修正済みバージョンへ更新

正確な対象バージョンと修正済みバージョンは、利用中のPAN-OS系統やhotfixによって異なります。実際の対応では、Palo Alto Networksの公式アドバイザリで利用中バージョンを照合してください。


企業がまず確認すべきポイント

対象製品を利用している企業は、まず以下を確認してください。

確認項目確認内容
PAN-OSの利用有無PA-Series、VM-Series、Panoramaを利用しているか
PAN-OSのバージョン影響対象バージョンに該当するか
CASの利用有無Cloud Authentication ServiceをAuthentication Profileで使っているか
紐づけ先CASのAuthentication Profileがどのログインインターフェースに設定されているか
GlobalProtect設定GlobalProtect Portal / GatewayにCASが紐づいていないか
管理画面の公開範囲インターネットや不要なネットワークから管理画面に到達できないか
修正済みバージョン公式アドバイザリに記載された修正版へ更新済みか
代替認証方式一時的にCASを無効化し、SAMLやRADIUSなどへ変更できるか

特に優先すべきは、CASの利用有無と、管理インターフェースの公開範囲です。

CASを使っていない環境であれば、この脆弱性の直接的な影響は限定的です。
一方、CASを使っていて、さらに管理画面やGlobalProtect関連のログインインターフェースに紐づいている場合は、早急に設定確認とアップデートを進めるべきです。


対策:アップデートと設定見直し

基本的な対策は、Palo Alto Networksが提供する修正済みバージョンへのアップデートです。

Palo Alto Networksは、PAN-OS 12.1、11.2、11.1、10.2の各系統に対して、修正済みバージョンやhotfixを案内しています。また、一時的な軽減策として、CASを無効化し、関連するAuthentication ProfileをSAML、RADIUS、その他のサポートされた認証方式に変更することも示しています。

加えて、以下の運用見直しも重要です。

  • 管理インターフェースをインターネットに公開しない
  • 管理画面へのアクセス元を信頼済みIPに限定する
  • GlobalProtect Portal / Gatewayの認証設定を確認する
  • CASを利用しているAuthentication Profileの紐づけ先を棚卸しする
  • 不要なログインインターフェースを無効化する
  • 管理者ログイン履歴や認証ログを確認する
  • 修正済みPAN-OSへの更新計画を早急に立てる

また、Threat Preventionサブスクリプションを利用している場合、Palo Alto NetworksはApplications and Threats content version 9100-10044以降でThreat ID 510008を有効化することで、この脆弱性に対する攻撃をブロックできると案内しています。ただし、これは環境条件や設定に依存するため、パッチ適用の代替ではなく補完策として考えるべきです。


「悪用確認なし」でも急ぐべき理由

今回の脆弱性について、Palo Alto Networksは悪意ある悪用を認識していないと説明しています。
そのため、前回扱ったTrendAI Apex Oneのような「悪用確認済み」の事案とは少し性質が異なります。

しかし、それでも早期対応すべき理由があります。

第一に、JPCERT/CCが注意喚起を出していることです。国内で対象製品が広く利用されていることを確認しており、攻撃が広がる可能性に触れています。

第二に、技術的な詳細解説がすでに公表されていることです。
脆弱性の詳細が広く知られると、防御側だけでなく攻撃者側も検証を進めやすくなります。

第三に、影響箇所がVPNや管理インターフェースなど、企業ネットワークの入口に近いことです。
入口の認証回避は、侵害後の影響範囲が大きくなりやすいため、通常の業務アプリの脆弱性より優先度を上げて見るべきです。


VPN・境界防御の運用で見直したいこと

今回のCVE-2026-0265は、PAN-OS固有の脆弱性です。
ただし、企業が学ぶべきポイントは、単に「PAN-OSをアップデートする」だけではありません。

VPNや境界防御の運用では、次のような考え方が重要です。

見直しポイント理由
管理画面を外部公開しない管理インターフェースは最重要保護対象
VPN認証を多層化する単一の認証基盤に依存しすぎない
認証ログを監視する認証回避や異常接続の兆候を見つける
認証プロファイルを棚卸しする古い設定や不要なCAS利用を見つける
境界機器を定期更新するVPN機器・ファイアウォールは攻撃対象になりやすい
脆弱性情報の監視体制を作るJPCERT/CC、ベンダ、JVNなどを定期確認する

特に、管理画面を外部からアクセス可能にしている環境は、優先的に見直すべきです。
Palo Alto Networksも、管理インターフェースへのアクセスを信頼済み内部IPアドレスに制限することを強く推奨しています。


モバイル・金融アプリ事業者にも関係する理由

この脆弱性は、直接的にはPalo Alto NetworksのPAN-OSに関するものです。

しかし、金融アプリ、決済アプリ、会員アプリなどを運営している企業にとっても無関係ではありません。

理由は、VPNやファイアウォールが、次のような重要システムの入口になっていることが多いからです。

  • 管理画面
  • 開発環境
  • 本番運用環境
  • 顧客データを扱う社内システム
  • 不正検知・監視基盤
  • CI/CDや署名鍵管理に関わる環境

アプリ側にRASPやApp Shieldingを入れていても、社内ネットワークや管理環境が侵害されれば、サービス全体のリスクは高まります。

モバイル不正対策では、アプリ単体の防御だけでなく、VPN、認証基盤、管理端末、境界防御を含めた全体設計が重要です。


まとめ:CAS利用環境と管理画面の公開範囲を早急に確認

Palo Alto Networks PAN-OSのCVE-2026-0265は、Cloud Authentication Serviceが有効な環境で、認証回避につながる可能性がある脆弱性です。

現時点でPalo Alto Networksは悪意ある悪用を認識していないとしていますが、JPCERT/CCは国内利用状況や技術的詳細の公表を踏まえ、攻撃拡大の可能性に注意を促しています。

企業がまず確認すべきことは、次の5点です。

  • PAN-OSの利用バージョンを確認する
  • CASを使ったAuthentication Profileの有無を確認する
  • CASがGlobalProtectや管理インターフェースに紐づいていないか確認する
  • 管理画面が外部から到達可能になっていないか確認する
  • 修正済みバージョンへのアップデート、またはCAS無効化などの軽減策を実施する

VPNやファイアウォールは、企業ネットワークを守るための入口です。
だからこそ、その入口の認証に関わる脆弱性は、早期に確認し、設定とバージョンの両面から対策する必要があります。


FAQ

CVE-2026-0265は何が危険なのですか?

Cloud Authentication Service、CASが有効なPAN-OS環境で、認証されていない攻撃者が認証制御を回避できる可能性がある点です。GlobalProtectや管理インターフェースなど、企業ネットワークの入口に関わる設定で使われている場合は特に注意が必要です。

すでに悪用されていますか?

Palo Alto Networksは、現時点で悪意ある悪用は認識していないと説明しています。ただし、JPCERT/CCは技術的詳細が公表されたことから、今後攻撃コードが公開され、国内で悪用が広がる可能性があるとして注意喚起しています。

Prisma AccessやCloud NGFWも影響を受けますか?

Palo Alto Networksは、Cloud NGFWとPrisma Accessはこの脆弱性の影響を受けないと説明しています。影響対象は、PAN-OSを搭載したPA-Series、VM-Series、Panoramaなどです。

まず何を確認すればよいですか?

PAN-OSのバージョン、CASの利用有無、CASを使ったAuthentication ProfileがGlobalProtect Portal、GlobalProtect Gateway、管理インターフェースなどに紐づいていないかを確認してください。あわせて、管理画面が外部から到達できない構成になっているかも確認すべきです。


参考情報

  • JPCERT/CC:Palo Alto Networks製PAN-OSにおける認証回避の脆弱性に関する注意喚起
  • Palo Alto Networks:CVE-2026-0265 PAN-OS Authentication Bypass with CAS enabled