Citrix NetScaler脆弱性CVE-2026-3055──メモリ情報漏洩から企業を守る緊急対策

2026年3月23日、CitrixはNetScaler ADCおよびNetScaler Gatewayに影響する深刻な脆弱性CVE-2026-3055のセキュリティアップデートを公開しました。CVSS（共通脆弱性評価システム）スコア9.3という極めて高い危険度を持つこの脆弱性は、認証なしでリモートからアプライアンスのメモリ情報を読み取られる可能性があります。本記事では、この脆弱性の技術的な詳細から、御社が今すぐ取るべき具体的な対策までを解説します。シングルサインオン（SSO）環境を構築している企業にとって、セッショントークンや認証情報の窃取につながりかねない重大なリスクです。

CVE-2026-3055とは何か──境界デバイスを狙う新たな脅威

CVE-2026-3055は、Citrix NetScaler ADCおよびNetScaler Gateway製品における「境界外読み取り（out-of-bounds read）」の脆弱性です。この脆弱性は入力検証の不足に起因しており、認証を必要としないリモートの攻撃者が、特殊に細工されたリクエストを送信することでアプライアンスのメモリから機密情報を漏洩させることが可能になります。

NetScaler ADCは、企業のアプリケーション配信と負荷分散を担う重要なネットワーク機器です。また、NetScaler Gatewayは、リモートユーザーが社内リソースに安全にアクセスするためのVPNおよび認証基盤として広く利用されています。これらの製品は企業ネットワークの「境界」に設置されるため、一度侵害されると社内システム全体への足がかりとなる危険性があります。

今回の脆弱性で特に注意が必要なのは、SAML Identity Provider（SAML IDP）として構成されている環境のみが影響を受ける点です。デフォルト設定では影響を受けませんが、シングルサインオン（SSO）を導入している企業ではSAML IDPの設定が広く使用されているため、多くの組織が潜在的なリスクを抱えていると考えられます。

過去のCitrixBleedから学ぶ──なぜ今すぐ対応すべきなのか

Citrix製品におけるメモリ情報漏洩の脆弱性は、過去にも大きな被害をもたらしてきました。2023年10月に公開されたCVE-2023-4966、通称「CitrixBleed」は、今回のCVE-2026-3055と類似した特性を持つ脆弱性でした。CitrixBleedでは、攻撃者がセッショントークンを窃取し、正規ユーザーになりすましてシステムに侵入する「セッションハイジャック」が横行しました。

Palo Alto Networks Unit 42の調査によれば、CitrixBleedはLockBit 3.0をはじめとするランサムウェアグループに悪用され、教育、エネルギー、金融サービス、医療、製造業など幅広い業界の組織が被害を受けました。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、LockBitの関連組織がCitrixBleedを悪用してBoeing社の部品・流通事業に初期侵入したことを公表しています。

さらに2025年6月には、CVE-2025-5777として知られる「CitrixBleed 2」が発見され、公開からわずか1週間で活発な悪用が確認されました。CyberScoopの報道によれば、1150万回以上の攻撃試行が観測され、22の悪意あるIPアドレスからの攻撃が確認されています。

今回のCVE-2026-3055についても、現時点では実際の悪用報告や公開されたPoC（概念実証コード）は確認されていません。しかし、Rapid7やArctic Wolfなどのセキュリティ研究機関は、攻撃の複雑性が低いことから、エクスプロイトコードが公開され次第、速やかに悪用が始まる可能性が高いと警告しています。過去の事例を踏まえれば、パッチ公開後のわずかな猶予期間が、御社のセキュリティを左右する分岐点となります。

影響を受けるバージョンと設定の確認方法

CVE-2026-3055の影響を受けるのは、以下のバージョンのNetScaler ADCおよびNetScaler Gatewayです。

バージョン14.1については、14.1-66.59より前のすべてのリリースが影響を受けます。バージョン13.1については、13.1-62.23より前のリリースが該当します。また、NetScaler ADC 13.1-FIPSおよび13.1-NDcPPについては、13.1-37.262より前のリリースが影響を受けます。

重要な点として、Citrixが管理するクラウドサービスおよびAdaptive Authenticationは、すでにCloud Software Groupによって最新のソフトウェアアップデートが適用されており、影響を受けません。つまり、オンプレミス環境で自社管理しているNetScaler ADC/Gatewayのみが対策の対象となります。

自社環境がSAML IDPとして構成されているかを確認するには、NetScalerの設定ファイルを検査します。設定内に「add authentication samlIdPProfile」という文字列が含まれている場合、その環境はCVE-2026-3055の影響を受ける可能性があります。この確認は、御社のネットワーク管理者またはシステムインテグレーターと連携して実施することを推奨します。

なお、同時に公開されたCVE-2026-4368（CVSS 7.7）は、レースコンディションによるユーザーセッションの混同を引き起こす脆弱性です。こちらはGateway（SSL VPN、ICAプロキシ、CVPN、RDPプロキシ）またはAAA仮想サーバーとして構成されている場合に影響を受けます。設定内の「add authentication vserver」または「add vpn vserver」という文字列の有無で確認できます。

ネットワーク境界デバイス脆弱性の連鎖が示す構造的問題

今回のCitrix製品の脆弱性は、孤立した事象ではありません。近年、VPNアプライアンスやファイアウォールなど、企業ネットワークの境界に設置されるデバイスの脆弱性が相次いで発見・悪用されています。

情報処理推進機構（IPA）は、ネットワーク境界に位置するVPN機器等において深刻な脆弱性が相次いで報告され、ネットワーク貫通型攻撃に悪用される事例が確認されていると注意喚起しています。これらの脆弱性を悪用されると、自組織のネットワーク内への侵入に加え、機器がORB（Operational Relay Box）として他組織への攻撃の踏み台として利用される恐れがあります。

2024年度には、Palo Alto NetworksのPAN-OS、Checkpoint、Ivanti Connect Secure、FortiOSなど、主要なVPN製品で影響の大きい脆弱性が相次いで公開されました。サイバーセキュリティ戦略本部の報告書によれば、これらの機器に対する脆弱性を狙った継続的な攻撃が観測されており、修正プログラム公開前を狙うゼロデイ攻撃も発生しています。

また、Cisco ASAおよびFTDに対しては、2024年から2025年にかけて、UAT4356（Storm-1849）と呼ばれる中国系の脅威アクターによる高度な攻撃キャンペーンが確認されています。Zscaler ThreatLabzの分析によれば、この攻撃グループは境界型デバイスを狙った攻撃を専門としており、サポート終了間近のデバイスを重点的に標的としていました。

こうした状況は、境界型セキュリティモデルの構造的な限界を示しています。VPN認証さえ突破されれば内部ネットワーク全体にアクセスできるという「城壁と堀」型のセキュリティは、一度侵入されると攻撃者の横方向移動（ラテラルムーブメント）を許しやすい弱点を持っています。

御社が今すぐ取り組むべき5つのアクション

CVE-2026-3055への対応として、以下の具体的なアクションを推奨します。

第一に、SAML IDP設定の有無を確認してください。NetScalerの設定ファイルを検査し、「add authentication samlIdPProfile」の文字列が含まれているかを確認します。該当する場合は、即座にパッチ適用の優先度を最高に設定すべきです。

第二に、修正版への緊急アップデートを実施してください。対象環境では、NetScaler ADCおよびNetScaler Gateway 14.1-66.59以降、13.1-62.23以降、または13.1-FIPS/13.1-NDcPP 13.1.37.262以降への更新が必要です。Citrixは、Global Deny List機能を搭載した14.1-60.52および14.1-60.57ファームウェアを使用している場合、NetScaler Consoleを通じて緩和シグネチャを受け取ることも可能としていますが、完全なパッチ適用を強く推奨しています。

第三に、パッチ適用後のセッション管理を実施してください。過去のCitrixBleedの教訓として、パッチ適用前に窃取されたセッショントークンは、パッチ適用後も有効なままである可能性があります。そのため、パッチ適用後には全てのアクティブセッションおよび永続セッションを強制終了させることが重要です。

第四に、侵害の痕跡を調査してください。すでに攻撃を受けている可能性を考慮し、NetScaler ADC/Gatewayのアクセスログ（syslogおよびns.log）を確認してください。不審なIPアドレスからの接続、特にクライアントIPとソースIPが一致しないSSL VPN接続は、セッションハイジャックの兆候である可能性があります。

第五に、境界デバイス全体のセキュリティ態勢を見直してください。今回の脆弱性を契機として、自社で利用しているVPN機器やファイアウォールなど境界デバイスの棚卸しを行い、ファームウェアバージョンの確認と定期的な更新プロセスの整備を検討してください。

セキュリティ対策の高度化に向けて

境界デバイスの脆弱性が繰り返し発見される現状は、従来の境界型防御だけでは十分でないことを示しています。ゼロトラストアーキテクチャの考え方に基づき、「信頼せず、常に検証する」アプローチへの移行を検討する時期に来ているといえるでしょう。

具体的には、多要素認証（MFA）の導入強化、ネットワークセグメンテーションによる被害範囲の限定、EDR/XDRによる端末・ネットワークの異常検知、そして定期的な脆弱性診断とペネトレーションテストの実施が有効です。また、セキュリティベンダーやJPCERT/CCからの脆弱性情報を継続的に収集し、迅速に対応できる体制を整備することも重要です。

まとめ

Citrix NetScaler ADC/GatewayのCVE-2026-3055は、CVSS 9.3という極めて深刻な脆弱性です。SAML IDP設定時に認証不要でメモリ情報が漏洩し、セッショントークンや認証情報の窃取につながる可能性があります。過去のCitrixBleedでは、パッチ公開後もランサムウェアグループによる悪用が横行しました。該当環境をお持ちの企業は、SAML IDP設定の確認、即時パッチ適用、セッション管理の監査を緊急で実施してください。また、これを機に境界デバイス全体のセキュリティ態勢を見直し、ゼロトラストへの移行を検討することをお勧めします。

GXOでは、180社以上のセキュリティ支援実績をもとに、脆弱性診断からインシデント対応まで一気通貫でサポートしています。NetScaler環境の緊急点検や、境界デバイスのセキュリティ強化についてお悩みの方は、ぜひ一度ご相談ください。

お問い合わせはこちら： https://gxo.co.jp/contact-form