PAN-OS GlobalProtectにおける認証バイパスの脆弱性が攻撃に悪用される（CVE-2026-0257）

PAN-OS GlobalProtectにおけるVPN認証バイパスの脆弱性が攻撃に悪用される（CVE-2026-0257）

BleepingComputer – May 30, 2026

パロアルトネットワークスは5月30日、PAN-OS GlobalProtectに存在する認証バイパスの脆弱性（CVE-2026-0257）についてのアドバイザリを更新し、このセキュリティ欠陥が企業ネットワークへの侵入を試みる攻撃において悪用されていると警告した。

CVE-2026-0257は認証オーバーライドCookieが有効かつ特定の証明書構成が設定されたデバイスに発生する問題で、セキュリティ制限のバイパスと不正なVPN接続の確立を可能にするもの。5月半ばに修正されており、その際、深刻度は中程度と評価されていたものの、パッチ未適用デバイスへの攻撃で実際に悪用されていることが判明したため、新しいアドバイザリでは「高」に引き上げられたという。

このアドバイザリに先立ち、サイバーセキュリティ企業Rapid7も先月17日以降にCVE-2026-0257の悪用事例が多数確認されていると発表していた。同社は5月18日にVultrがホストするインフラからの攻撃を初めて検知し、同21日にはDromatics Systemsから第2波の攻撃を検出したそうだ。

GlobalProtect VPNを使用する組織には、速やかに最新のセキュリティアップデートをインストールしてパッチを適用することが求められる。また、管理者は認証オーバーライド機能を無効にするか、同機能に別の証明書を使用し、デバイス上の他サービスと共有しないことでもCVE-2026-0257を軽減できるとされる。このバグは米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のKEV（悪用が確認済みの脆弱性）カタログに追加され、米連邦政府各機関に対して6月1日までに緩和策を講じるよう指示が出ている。

マイクロソフト、バグ公表のセキュリティ研究者に圧力　不当な対応と批判集まる

TechCrunch – May 29, 2026

マイクロソフトが5月27日に公開したブログ記事上で、同社製品の未修正バグやこれらを悪用するコードを公表したセキュリティ研究者「Nightmare Eclipse（Chaotic Eclipse）」を批判し、法的措置と警察機関への通報をほのめかすなどして物議を醸している。

公表されたバグは「BlueHammer」「RedSun」「UnDefend」「YellowKey」と呼ばれるものなどで、Windowsに搭載されたウイルス対策エンジンDefenderやディスク暗号化ツールBitLockerなどの製品に影響を与えるとされる。マイクロソフトは同社に脆弱性を報告し、修正できるようにすることこそNightmare Eclipseの「責任ある行動」だと指摘した上で、パッチリリース前にバグの詳細と悪用方法を公にすれば攻撃者側の利益になり得ると主張した。マイクロソフトと米CISAによると、Nightmare Eclipseが公表した脆弱性の一部は実際の攻撃に悪用されているという。

ここ数週間に公開された一連のブログ記事の中で、Nightmare Eclipseはマイクロソフトと連絡を取っていたと主張している。やり取りの具体的な詳細はほとんど明らかにしていないものの、マイクロソフトの対応が不当なものだったと訴えており、Microsoft Security Response Center（研究者が脆弱性を報告できるポータル）の自分のアカウントにアクセスできないようにされるなど、脆弱性を公表する以外に選択肢がなかったことを示唆している。

今回の件を受け、数多くの研究者がマイクロソフトにバグを報告した際の苦い経験を​​共有しているそうで、サイバーセキュリティコミュニティの多くが同社の対応に強い不満を表明している模様。2009年に始まった「No More Free Bugs（無料のバグはもういらない）」キャンペーンから約20年が経過し、最近ではほとんどの企業が脆弱性を発見した研究者に「バグ報奨金」という形で報酬を支払っているが、独立系研究者は発見した脆弱性が確実に修正されるよう尽力する義務があるのか​​、またそうした製品を製造する企業が実際に脆弱性を修正するようどこまで働きかけるべきなのかという、長年議論されてきた問題が再燃したとTechCrunchは記している。