PAN-OSのRCEゼロデイが攻撃に悪用される：パロアルトが警告（CVE-2026-0300）

パロアルトネットワークス、ファイアウォールのRCEゼロデイが攻撃に悪用されていると警告（CVE-2026-0300）

BleepingComputer – May 6, 2026

パロアルトネットワークスは6日、PAN-OSのUser-ID™認証ポータルに存在する深刻度「Critical」のゼロデイ脆弱性が攻撃に悪用されていると警告した。

この脆弱性はCVE-2026-0300として追跡されており、バッファオーバーフローの欠陥に起因するもの。認証されていない攻撃者が特別に細工されたパケットを介し、ネットに接続されたPAシリーズおよびVMシリーズファイアウォール上で任意のコードをroot権限で実行できるようになるという。User-ID™認証ポータルは「キャプティブポータル」とも呼ばれるPAN-OSのセキュリティ機能で、ファイアウォールで自動的にIDをマッピングできないユーザーの認証を行う。

パロアルトネットワークスによると「信頼されていないIPアドレスやパブリックインターネットに接続されているPalo Alto Networks User-ID™認証ポータルに対し、限定的な攻撃が確認された」とのこと。パッチは2026年5月13日に提供される予定で、それまでは信頼できるゾーンのアクセスのみに制限、あるいはポータルを無効にして保護することが強く推奨されている。

脅威監視プラットフォームのShadowserverは5月5日時点で、オンライン上に公開されたPAN-OS VMシリーズを5,800台以上追跡しており、その大半がアジア（2,466台）と北米（1,998台）に集中しているようだ。PAN-OSファイアウォールはゼロデイ脆弱性を悪用した攻撃で狙われることが多く、例えば2024年11月にはゼロデイ2件を連鎖的に利用した攻撃で多くの侵害が発生している。

北朝鮮のハッカーグループ、Androidマルウェア「BirdCall」で中国在住の朝鮮系住民を標的に

The Record – May 7th, 2026

北朝鮮の高度なハッカーグループ「APT37」が人気のSqgame社製カードゲームに仕込まれたAndroidマルウェア「BirdCall」を使い、中国の延辺地域に住む朝鮮系住民を狙ったスパイ活動を展開しているという。

攻撃者はBirdCallを利用し、スクリーンショットの撮影、通話の録音、個人情報の窃盗などを行っている模様。サイバーセキュリティ企業ESETの研究者グループは、実行犯をAPT37と断定した。北朝鮮との国境沿いに位置する延辺地域は「第三の朝鮮」と呼ばれることもあり、ESETは難民や脱北者をターゲットにしている可能性が高いとみている。

当初、BirdCallはWindows端末のみ標的にしていると考えられていたが、後にAndroid版も発見された。Android版は数か月かけて開発され、ESETによって7つのバージョンが確認されている。

被害者は通常、Google Playストアを経由せず、端末のWebブラウザから不正に改変されたゲームを直接ダウンロード・インストールしていたようだ。ただし、SqgameのWebサイトからダウンロードした最初のファイルは不正なものではなく、遅くとも2024年11月以降に同プラットフォームが侵害され、その後に配信されたアップデートパッケージに問題があったと思われる。Sqgameに問題を報告したところ返答は得られなかったが、アップデートパッケージはすでに有害なものではなくなったとESETは記している。

APT37は2012年から活動しており、北朝鮮の国家保衛省内に置かれたグループとされる。活動の中心は韓国やアジア諸国を標的としたスパイ活動で、これまで政府機関や軍事組織、脱北者を標的にしてきたことなどが知られている。