信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
Palo Alto PAN-OS CVE-2026-0300——未認証RCEが野放しで悪用中、パッチは5月13日まで待て
PAN-OSのUser-ID認証ポータルに未認証バッファオーバーフロー(CVE-2026-0300、CVSS 9.3)が発見、国家関与とみられる攻撃者が積極的に悪用中。パッチは5月13日予定。今すぐ取れる緩和策を解説。
一言結論
PAN-OSのUser-ID認証ポータルにCVSS 9.3の未認証バッファオーバーフロー(CVE-2026-0300)が野放しで悪用中。パッチは2026年5月13日以降の予定で、今すぐインターネット向けのUser-ID認証ポータルアクセスを無効化することが最優先の緩和策だ。
何が起きたか
2026年5月、Palo Alto Networks製ファイアウォールOS「PAN-OS」のUser-ID認証ポータル(Captive Portal)に深刻な脆弱性が発見された。
CVE-2026-0300(CVSS 9.3)——**未認証のリモートコード実行(pre-auth RCE)**だ。
対象: PAN-OS を搭載した PA-Series / VM-Series ファイアウォール
CVSSv3: 9.3(インターネット公開時)/ 8.7(内部ネットワークのみの場合)
悪用状況: 野放しで積極的に悪用中(In-The-Wild Exploitation Confirmed)
パッチ: 2026年5月13日〜28日にリリース予定(現時点では未提供)
帰属: Unit 42 が「CL-STA-1132」(国家関与の疑い)に帰属CISAは2026年5月6日付でKnown Exploited Vulnerabilities (KEV) カタログに追加し、連邦政府機関に対して5月9日までの対策適用を命じた。
脆弱性の仕組み
バッファオーバーフローの発生点
問題はUser-ID認証ポータル(PAN-OSがゲスト認証などに使うCaptive Portal機能)のリクエスト処理部分にある。
攻撃フロー:
1. 攻撃者がインターネットからポータルのポートに特殊パケットを送信
2. 入力値の境界チェックが不十分 → ヒープバッファオーバーフロー
3. 任意コード実行 → root権限で乗っ取り完了
4. Active Directoryの列挙・トンネリングツールの設置へUnit 42の脅威ブリーフによると、観測されたCL-STA-1132はオープンソースのトンネリングツールを使い、侵入後にADの列挙を実施している。典型的な国家系APTの横展開パターンだ。
CVSSスコアの内訳
| 指標 | 値 | 意味 |
|---|---|---|
| Attack Vector | NETWORK | リモートから完全攻撃可能 |
| Complexity | LOW | 攻撃の複雑さなし |
| Privileges Required | NONE | 認証不要 |
| User Interaction | NONE | ユーザー操作不要 |
| Impact | HIGH/HIGH/HIGH | 完全侵害 |
「Attack Complexity: LOW」かつ「Privileges Required: NONE」——これはほぼ全自動で攻撃スクリプトが書けることを意味する。
影響を受ける構成
影響を受ける条件(両方を満たす場合):
- PAN-OSのバージョンが修正済みバージョン未満
- User-ID認証ポータルがインターネット(または信頼されていないネットワーク)から到達可能
# PAN-OSのUser-ID認証ポータル確認コマンド(管理コンソール)
# Device > User Identification > User-ID Agent Setup > Authentication Portal
# インターネット向けに公開されているかどうかを確認:
# Network > Network Profiles > Interface Management > Authentication Portal影響しない構成:
- User-ID認証ポータルを無効にしている場合
- 認証ポータルへのアクセスを内部信頼済みIPのみに制限している場合
今すぐ取れる緩和策
パッチが提供されるのは5月13日以降だ。それまでの間に必須の対応:
優先度1:ポータルへの外部アクセスを即時遮断
Network > Network Profiles > Interface Management Profile
→ Authentication Portal チェックを外す
または
→ Permitted IP Addresses を内部信頼済みIPのみに絞るPalo Alto公式の推奨は「インターネット向けにUser-ID認証ポータルを公開しないこと」だ。そもそも公開運用が設計の想定外でもある。
優先度2:Palo Alto提供の検知シグネチャを適用
2026年5月5日にPalo Alto Networksは悪用試行をブロックする脅威シグネチャを公開した。
Threat ID: 95751(ブロックモードで適用推奨)
Appliance: Threat Prevention ライセンスが必要優先度3:侵害の痕跡(IoC)確認
Wiz BlogやRapid7のETRレポートが公開したIoCを参照し、ファイアウォールのシステムログを精査する:
確認ポイント:
- User-ID認証ポータルへの異常なリクエスト
- 未知のプロセスによるネットワーク通信
- AD列挙ツール(ADFind, BloodHound等)の実行痕跡
- 未知のトンネリングプロセス(chisel, frp等)パッチリリース予定
Palo Alto Networksが発表しているリリーススケジュール:
| PAN-OSバージョン | パッチリリース予定 |
|---|---|
| 11.x系 | 2026年5月13日〜 |
| 10.x系 | 2026年5月20日〜 |
| 9.x系 | 2026年5月28日〜 |
パッチが出た時点で即時適用が必要。 パッチ前後の変更管理例外を取る準備を今のうちにしておくこと。
開発者・インフラ担当者への実践アドバイス
エンタープライズのネットワーク周りを担当する開発者は以下を今週中に確認したい:
チェックリスト:
□ 自社のPAN-OSバージョンの確認
□ User-ID認証ポータルの有効/無効の確認
□ ポータルの到達可能範囲(インターネット公開か否か)
□ 脅威シグネチャ 95751 の適用状況
□ ログ監視でIoCの存在確認
□ 5月13日以降のパッチ適用計画の策定CL-STA-1132が国家系と見られている以上、ターゲットは一般企業でも対岸の火事ではない。APT集団は多くの場合「まず数を打って、後で使えるアクセスを売り飛ばす」ビジネスモデルをとる。
まとめ・参考リンク
CVE-2026-0300は未認証でroot権限が奪われるため深刻度は最高クラスだ。パッチは2026年5月13日以降に段階的に提供されるが、それまでの間はインターネット向けのUser-ID認証ポータルを無効化・制限することが唯一の確実な緩和策だ。
参考リンク:
- Palo Alto Networks 公式アドバイザリ(CVE-2026-0300)
- The Hacker News: Palo Alto PAN-OS Flaw Under Active Exploitation Enables RCE
- Rapid7 ETR: Critical Buffer Overflow in PAN-OS User-ID Authentication Portal
- Wiz Blog: CVE-2026-0300 Exploited in-the-Wild
- Bleeping Computer: Palo Alto Networks warns of firewall RCE zero-day
- CISA KEV Catalog
注意事項: パッチリリース予定日はPalo Alto Networksの公式発表に基づく。ベンダーのアドバイザリを定期的に確認し、最新情報を参照すること。