1. 概要

 2026年5月13日(現地時間)、Palo Alto Networksは、PAN-OSに存在する認証回避の脆弱性「CVE-2026-0265」に関するアドバイザリを公開しました。Cloud Authentication Service(CAS)が有効化されている環境において、本脆弱性を悪用することで未認証の第三者が認証制御を回避することが可能となります。
 また、2026年5月20日(現地時間)には海外セキュリティ企業Hacktron AIより、本脆弱性の技術的な詳細解析が公開されました。解析では、細工された認証トークンを利用することで、GlobalProtect環境に対して認証を経ずVPN接続が成立する可能性が示されています。
 現在は当該脆弱性の悪用は確認されておりませんが、JPCERT/CCも注意喚起を公開しており、国内において対象製品が広く利用されていることから、今後PoC(Proof of Concept)コードや攻撃コードが流通し、悪用が拡大する可能性があるとして注意を呼び掛けています。

 

2. 脆弱性情報詳細(CVE-2026-0265)

(1)脆弱性の概要
 CVE-2026-0265は、Palo Alto Networks製PAN-OSに存在する認証回避の脆弱性です。本脆弱性は、CAS(Cloud Authentication Service)を利用したAuthentication Profileが有効化されている環境において、認証処理に不備が存在することで発生します。攻撃者は、ネットワーク経由で対象機器へアクセス可能な場合、認証を経ずにアクセス制御を回避できる可能性があります。
 
 Palo Alto Networksによると、以下の条件を満たす場合に影響を受けます。
・CASを利用したAuthentication Profileが有効化されている
・当該Authentication Profileがログインインタフェースに割り当てられている
 
 また、対象となるインタフェースには、以下が含まれます。
・管理インタフェース
・GlobalProtect Portal
・GlobalProtect Gateway
 特に、管理インタフェースに対してCAS認証を使用している場合はリスクが高いとされており、不正アクセスによる設定変更や機器制御につながる可能性があります。
 
(2)CASについて
 CAS(Cloud Authentication Service)は、Palo Alto Networksが提供するクラウドベースの認証サービスです。PAN-OSでは、CASを利用することで、クラウド上でユーザー認証を実施し、管理インタフェースやGlobalProtect Portal/Gatewayなどに対して認証連携を行うことができます。
 

2026_5_secnews_gou

図 1 CAS認証のイメージ

 CASはクラウドサービスとして提供されるため、オンプレミス側で認証基盤を構築・維持する負担を軽減できる一方、認証連携部分に問題が発生した場合には、複数のアクセス経路へ影響が及ぶ可能性があります。
 今回のCVE-2026-0265は、このCASを利用した認証処理に関連する脆弱性であり、特定条件下で認証制御を回避される可能性があるとされています。
 特にGlobalProtect環境では、CAS認証プロファイルがPortalやGatewayに適用されているケースも多く、リモートアクセス基盤への影響が懸念されています。
 
(3)影響を受けるシステムおよびバージョン
 - PAN-OS 12.1.7より前の12.1系のバージョン
 - PAN-OS 12.1.4-h5より前の12.1系のバージョン
 - PAN-OS 11.2.12より前の11.2系のバージョン
 - PAN-OS 11.2.10-h6より前の11.2系のバージョン
 - PAN-OS 11.2.7-h13より前の11.2系のバージョン
 - PAN-OS 11.2.4-h17より前の11.2系のバージョン
 - PAN-OS 11.1.15より前の11.1系のバージョン
 - PAN-OS 11.1.13-h5より前の11.1系のバージョン
 - PAN-OS 11.1.10-h25より前の11.1系のバージョン
 - PAN-OS 11.1.7-h6より前の11.1系のバージョン
 - PAN-OS 11.1.6-h32より前の11.1系のバージョン
 - PAN-OS 11.1.4-h33より前の11.1系のバージョン
 - PAN-OS 10.2.18-h6より前の10.2系のバージョン
 - PAN-OS 10.2.16-h7より前の10.2系のバージョン
 - PAN-OS 10.2.13-h21より前の10.2系のバージョン
 - PAN-OS 10.2.10-h36より前の10.2系のバージョン
 - PAN-OS 10.2.7-h34より前の10.2系のバージョン
 ※CASによる認証プロファイルが有効かつ、CASによる認証プロファイルがログインインタフェースに割り当てられている場合、本脆弱性の影響を受けます。
 
(4)対策
 Palo Alto Networksは、本脆弱性を修正したPAN-OSバージョンへのアップデートを推奨しています。
 加えて、すぐにアップデートが実施できない場合の緩和策として、以下の対応が案内されています。
・CAS認証を無効化し、SAMLやRADIUSなど別方式へ切り替える
・管理インタフェースへのアクセスを信頼済みIPアドレスのみに制限する
・Threat PreventionのThreat ID「510008」を適用する
・GlobalProtectインタフェースに対して脆弱性防御プロファイルを適用する
 特に、管理インタフェースをインターネットへ直接公開している環境では、アクセス制御設定の見直しが重要となります。

 

3. まとめ

 本記事では、Palo Alto Networks製PAN-OSにおける、認証回避の脆弱性(CVE-2026-0265)について詳細と対策を紹介しました。
 CASを通じてGlobalProtectや管理インタフェースを利用する環境では、認証を経ずVPN接続や管理アクセスが行われる可能性があり、企業ネットワークに対する重大なリスクとなる可能性があります。
 対象機器を利用している場合は、速やかに影響有無を確認し、修正パッチの適用および緩和策の実施を進めることを推奨します。

 

4. 参考情報

・Palo Alto Networks
CVE-2026-0265 PAN-OS: Authentication Bypass with Cloud Authentication Service (CAS) enabled 2026年5月22日閲覧
https://security.paloaltonetworks.com/CVE-2026-0265

・Hacktron AI
When Your VPN Opens Your Private Network to the Public 2026年5月22日閲覧
https://www.hacktron.ai/blog/cve-2026-0265-panos-globalprotect-cas-auth-bypass

 

5. SSKの総合セキュリティサービスについて

 SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
 セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
 脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
 デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
 これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。

【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
       TEL 03-4500-4255
       FAX 03-6824-9977
       sales@ssk-kan.co.jp