チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「うちのファイアウォール、Captive Portalがインターネットに見える設定で残っていないか不安だ…」
「PAN-OSのゼロデイが悪用されているらしいけど、まず何から手を付ければいいの?」
チップスボス!うちもPalo Alto使ってるでしゅ!Captive Portalって、たまに使うやつでしゅよね?大丈夫でしゅかぁ…
ボス落ち着け、チップス。PAN-OSの認証ポータルに未認証RCEだ。すでに限定的な悪用も観測されている。慌てず、しかし手は止めるな、だな。
同じように肝を冷やしたファイアウォール管理者の方も多いはずです。
ここでは、CVE-2026-0300の中身と、いますぐ確認しておくべき設定を整理していきます。
読み終えるころには、自社のPAN-OSが危険な状態にあるかどうかを判断する材料が揃います。
オススメ案件
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
PAN-OSの認証機能を突く、未認証のリモートコード実行脆弱性です。
Palo Alto Networksは2026年5月5日にセキュリティアドバイザリを公開しました。
対象はPA-SeriesおよびVM-Seriesのファイアウォールで、PAN-OS 10.2/11.1/11.2/12.1の特定バージョンが影響を受けます。
Cloud NGFW、Prisma Access、Panoramaは対象外と明記されています。
悪用の前提となる設定条件は次の通りです。
Palo Alto Networks自身が、信頼できないIPに公開された認証ポータルへの「limited exploitation」を確認したと発表しました。
The Shadowserver Foundationの観測では、インターネットに露出しているVM-Seriesは世界で5,800台を超え、その内アジア地域だけで約2,466台にのぼります。
チップス2,466台もアジアにあるんでしゅか…日本も含まれてるかもしれないでしゅ!
ボスそういうことだ。攻撃者は標的を選んでいる、と考えていい。観測されたのが「限定的」な段階のうちに、防御側が動かないと手遅れだぞ。
詳細はPalo Alto Networksの公式アドバイザリを参照してください。
特殊なパケット1発でroot権限を奪われる、典型的なメモリ破壊型の脆弱性です。
本脆弱性はCWE-787(範囲外書き込み)に分類されます。
認証不要かつネットワーク経由で、ファイアウォール本体上でroot権限のコード実行に至ります。
攻撃の主な特徴は以下の通りです。
| 項目 | 内容 |
|---|---|
| 攻撃ベクタ | ネットワーク(インターネット経由) |
| 認証要件 | 不要 |
| ユーザー操作 | 不要 |
| 取得される権限 | root |
| CVSS | 9.3 |
Captive Portalはゲストネットワークの認証や、リモートユーザーの一時アクセス制御で使われてきた機能です。
過去の検証用設定が外向きインターフェースで残ってしまうケースが少なくありません。
運用上、特に注意すべき点を整理します。
チップス「使ってないと思ってた機能」が一番こわいでしゅね…構成変更履歴、見直しでしゅ!
ボスそうだ、ログを3回読み返せ、そこに答えがある。設定もな。
パッチ提供は5月13日以降、対象バージョンごとに順次予定されています。
パッチ適用までの間は、認証ポータルを内部限定にし、信頼できないインターフェースのレスポンスページを無効化する緩和策が有効です。
侵害の有無は、認証ポータル宛の不審な通信ログとファイアウォール上の異常プロセスを優先して確認しましょう。
チップス緩和策→パッチ適用→事後点検、の順で進めるでしゅね!
ボスその通りだ。ファイアウォールは家の鍵だ。鍵を交換するまで、扉の前で見張れ。
オススメ案件
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【セキュリティ推進課向けプリセールス支援】フルリモート(稼働80~100%)/提案・PM・コンサル
