「自社が外部に公開しているシステムを、全部言えますか?」――この問いに即答できる中小企業は、ほとんどない。 VPN、リモートアクセス機器、管理画面、クラウド管理コンソール、社内システムのログイン画面――DX で便利になった裏側で、外部からアクセスできる「入口」が増え続けている。そして、その入口が攻撃者の標的になる。
JPCERT/CC は 2026 年 5 月 22 日、Palo Alto Networks 製 PAN-OS における認証回避の脆弱性 CVE-2026-0265 に関する注意喚起を公開した(JPCERT/CC 注意喚起 CVE-2026-0265)。対象条件下では 遠隔の第三者が認証を回避できる可能性があり、JPCERT/CC は 今後攻撃コードが公開され、国内で悪用が広がる可能性にも言及している。
VPN やリモートアクセス機器は「社内ネットワークへの入口」だ。ここを突破されると、内部の業務システム・顧客情報・基幹システムまで侵害が及ぶ。本記事は、外部公開システムが狙われる構造、過去の VPN 脆弱性起因の重大インシデント、外部公開システムの棚卸しチェックリスト 12 項目、開発会社・保守会社に確認すべき 8 項目、脆弱性対応の運用体制、緊急対応 5 項目、FAQ を一次ソースとともに整理する。
目次
- CVE-2026-0265:PAN-OS 認証回避脆弱性とは
- なぜ VPN・外部公開システムが狙われるのか
- 過去の VPN 脆弱性起因の重大インシデント
- 外部公開システムの棚卸しチェックリスト 12 項目
- 開発会社・保守会社に確認すべき 8 項目
- 脆弱性対応の運用体制(パッチ管理 / 監視 / EDR)
- 今すぐやる緊急 5 項目
- よくある質問(FAQ 10 問)
- 参考一次ソース
CVE-2026-0265:PAN-OS 認証回避脆弱性とは
JPCERT/CC が 2026 年 5 月 22 日に公開した注意喚起によると、Palo Alto Networks 製の PAN-OS(同社のファイアウォール・VPN ゲートウェイ製品の OS)に 認証回避(authentication bypass)の脆弱性 CVE-2026-0265 が存在する。
参考: JPCERT/CC「Palo Alto Networks 製 PAN-OS における認証回避の脆弱性(CVE-2026-0265)に関する注意喚起」
脆弱性の概要
- 影響: 対象条件下で、遠隔の第三者が認証を回避できる可能性
- 対象製品: PAN-OS を搭載した Palo Alto Networks 製機器(ファイアウォール / VPN ゲートウェイ等)
- JPCERT/CC の懸念: 今後 攻撃コード(exploit)が公開され、国内で悪用が広がる可能性
「認証回避」が深刻な理由
認証回避とは、本来 ID・パスワードや多要素認証で守られているはずの管理機能に、認証を通さずアクセスできてしまう脆弱性だ。VPN ゲートウェイの管理画面が認証回避されると:
- ファイアウォール設定の改ざん(攻撃者の通信を許可)
- VPN 認証情報の窃取
- 社内ネットワークへの侵入経路の確保
- 設定バックドアの設置
つまり、「社内への入口」の鍵が無効化されることを意味する。
まず確認すべきこと
PAN-OS 製品を使っている企業は、速やかに以下を確認:
- Palo Alto Networks 公式のセキュリティアドバイザリで対象バージョンを確認
- 自社機器のバージョンが影響対象か
- パッチ(修正版ファームウェア)の適用
- パッチ適用までの暫定回避策(管理インターフェースのアクセス制限等)
参考: Palo Alto Networks Security Advisories
注記: 本記事は CVE-2026-0265 の技術詳細を網羅するものではなく、最新かつ正確な情報は JPCERT/CC 注意喚起と Palo Alto Networks 公式アドバイザリを必ず参照すること。本記事の主眼は、この事案を契機に 中小企業が外部公開システム全体をどう点検・運用すべきかを整理することにある。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
なぜ VPN・外部公開システムが狙われるのか
CVE-2026-0265 は PAN-OS という特定製品の話だが、VPN・リモートアクセス機器・管理画面が攻撃の標的になる構造は共通している。
外部公開システムは「社内への入口」
DX を進めると、外部からアクセスできる仕組みが増える:
| 外部公開システム | 役割 | 突破された場合 |
|---|---|---|
| VPN ゲートウェイ | リモートワークの社内接続 | 社内ネットワーク全体に侵入 |
| リモートデスクトップ (RDP) | 遠隔操作 | サーバ・PC の乗っ取り |
| 管理画面 (ファイアウォール / ルータ) | ネットワーク機器設定 | 通信制御の改ざん |
| クラウド管理コンソール (AWS / GCP / Azure) | クラウド資源管理 | 全クラウド資源の掌握 |
| 社内システムのログイン画面 | 業務システムアクセス | 顧客情報・基幹データ流出 |
| Web メール / グループウェア | メール・スケジュール | 情報窃取・なりすまし |
攻撃者が VPN を狙う 3 つの理由
- 一度突破すれば社内全体にアクセスできる: VPN は「内側に入る」ための鍵。突破すれば lateral movement(内部移動)で全システムに到達
- 24 時間外部公開されている: VPN は常時稼働・常時公開。攻撃の試行が無制限にできる
- パッチ適用が遅れやすい: ネットワーク機器は「動いているから触らない」になりがち。脆弱性が放置される
「DX した企業」ほど外部公開が増える
業務システムをクラウド化・リモート対応した企業ほど、外部公開の入口が増える。便利さと攻撃対象(アタックサーフェス)はトレードオフだ。重要なのは、増えた入口を把握し、更新・監視・脆弱性対応する運用体制を持つこと。
過去の VPN 脆弱性起因の重大インシデント
VPN・外部公開機器の脆弱性が重大インシデントにつながった公開報道済の事例を整理する。各事案は当時の状況下で発生したもの。
事案 1: Fortinet FortiGate CVE-2018-13379(VPN 認証情報流出)
概要: Fortinet 製 VPN 機器 FortiGate の脆弱性 CVE-2018-13379(2018 年公開)。パス・トラバーサルにより、認証なしで VPN 認証情報(平文パスワード含む)が窃取可能だった。
影響: 世界中で多数の組織が侵害。国内でも大阪急性期総合医療センター(2022 年ランサム被害、電子カルテ約 2 ヶ月停止)や つるぎ町立半田病院(2021 年)の侵入経路として、この CVE-2018-13379 が関与したと公式報告書で指摘されている。
教訓: 2018 年に公開された脆弱性が、2021-2022 年の侵害に使われた = 4 年放置。パッチ未適用の VPN 機器が長期間放置される実態を示す。
出典:
- JPCERT/CC「Fortinet 製 FortiOS の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する注意喚起」
- 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書 (2023-03)
事案 2: Colonial Pipeline 2021(VPN アカウント経由のランサム)
概要: 2021 年 5 月、米最大級の燃料パイプライン Colonial Pipeline がランサム攻撃で 約 6 日間操業停止、440 万ドルの身代金を支払った。侵入経路は 使われていない VPN アカウント(MFA 未設定) に、漏洩パスワードでアクセスされたもの。
教訓: VPN アカウントの MFA 未設定 + 使われていないアカウントの放置が突破口。外部公開システムの「棚卸し」がいかに重要かを示す。
出典:
事案 3: Citrix / Pulse Secure 等 VPN 製品の脆弱性悪用(継続的)
概要: Citrix ADC(CVE-2019-19781)、Pulse Secure VPN(CVE-2019-11510)など、主要 VPN 製品の脆弱性が 公開後すぐに世界中で悪用された。CISA は これらを「Known Exploited Vulnerabilities(悪用が確認された脆弱性)」カタログに登録し、迅速なパッチ適用を勧告。
教訓: VPN 製品の脆弱性は 公開→攻撃コード公開→大規模悪用 が短期間で進む。CVE-2026-0265 も JPCERT/CC が「攻撃コード公開・悪用拡大の可能性」を警告しており、同じ展開が懸念される。
出典:
共通パターン
| 共通点 | 該当事案 |
|---|---|
| VPN/外部公開機器が侵入経路 | 全事案 |
| パッチ未適用の長期放置 | Fortinet (4 年) |
| MFA 未設定・アカウント放置 | Colonial Pipeline |
| 公開→悪用が短期間 | Citrix / Pulse Secure / CVE-2026-0265 懸念 |
外部公開システムの棚卸しチェックリスト 12 項目
CVE-2026-0265 を契機に、自社の外部公開システム全体を棚卸しする。情シス 1-3 名で実施できる 12 項目:
■ 把握(何が外部公開されているか)
□ 1. VPN ゲートウェイ(製品名・バージョン・管理者)をリスト化
□ 2. リモートデスクトップ (RDP) の公開有無を確認
□ 3. ファイアウォール・ルータの管理画面が外部公開されていないか
□ 4. クラウド管理コンソール(AWS/GCP/Azure)のアクセス経路
□ 5. 社内システム・業務アプリのログイン画面の公開 URL 一覧
□ 6. Web メール・グループウェアの公開状況
■ 状態(更新・対応されているか)
□ 7. 各機器・システムのファームウェア/ソフトウェアが最新か
□ 8. 既知の脆弱性 (CVE) への対応状況
□ 9. 管理画面に MFA(多要素認証)が設定されているか
□ 10. 使われていない・退職者の VPN アカウントが残っていないか
■ 監視(異常を検知できるか)
□ 11. 外部公開システムへのアクセスログを取得・監視しているか
□ 12. 不審なログイン試行のアラートがあるか
棚卸しで「分からない」が出たら
「誰が管理しているか分からない」「いつ更新したか分からない」「ログを見ていない」――これらが出たら、それ自体がリスク。外部公開システムは「作って終わり」ではなく、継続的な把握・更新・監視が必須。
開発会社・保守会社に確認すべき 8 項目
外部公開システムを開発会社・保守会社に委託している場合、確認すべき 8 項目:
□ 1. 当社の外部公開システムの一覧(インベントリ)を提供できるか
□ 2. 使用している VPN/機器/ミドルウェアのバージョン管理をしているか
□ 3. 脆弱性 (CVE) 情報の監視と通知をしているか
□ 4. パッチ適用の方針・頻度はどうなっているか
□ 5. 緊急脆弱性(CVE-2026-0265 等)発生時の対応 SLA はあるか
□ 6. 管理画面の MFA・アクセス制限を設定しているか
□ 7. アクセスログの取得・監視を行っているか
□ 8. 保守契約に脆弱性対応・パッチ適用が含まれるか
**「開発はしたが保守は契約外」**というケースで、脆弱性が放置されることが多い。保守契約の範囲に 脆弱性監視・パッチ適用・緊急対応が含まれているか確認する。
脆弱性対応の運用体制(パッチ管理 / 監視 / EDR)
外部公開システムを安全に運用するための体制を 3 層で整理する。
層 1: パッチ管理(脆弱性対応)
- 脆弱性情報の監視: JPCERT/CC 注意喚起 / IPA / 各製品ベンダーのアドバイザリを定期確認
- 資産インベントリ: 何を使っているか(バージョン含む)を常時把握
- パッチ適用フロー: 緊急度に応じた適用(Critical は 24-72h、High は 1 週間)
- 適用テスト: 本番適用前のステージング検証
層 2: 監視(異常検知)
- アクセスログ監視: 外部公開システムへの不審なアクセスを検知
- SIEM / ログ集約: 複数システムのログを横断分析
- アラート設計: 異常ログイン試行・認証失敗の急増を通知
層 3: EDR / ネットワーク防御
- EDR(エンドポイント検知): 侵入後の lateral movement を検知
- WAF / IPS: 既知攻撃パターンの遮断
- ネットワーク分離: VPN 突破後の被害拡大を限定(セグメント分離)
中小企業の現実的な体制
情シス 1-3 名で全部内製は困難。**外部の保守・運用パートナー + MSSP(マネージドセキュリティ)**の活用が現実解:
| 役割 | 担当 |
|---|---|
| 脆弱性監視・パッチ適用 | 保守会社 / 外部パートナー |
| 24h 監視 | MSSP / 外部 SOC |
| 緊急対応 | 内製 + 外部支援 |
| 棚卸し・体制設計 | 外部 CTO / セキュリティ顧問 |
今すぐやる緊急 5 項目
緊急 1: PAN-OS 製品の有無とバージョン確認(30 分)
- 自社で Palo Alto Networks 製機器を使っているか確認
- 使っている場合、バージョンが CVE-2026-0265 の影響対象か(公式アドバイザリ参照)
- 対象なら速やかにパッチ適用 or 暫定回避策
緊急 2: 全 VPN・外部公開機器のバージョン確認(1-2h)
- Palo Alto に限らず、Fortinet / Cisco / SonicWall / Citrix 等の VPN 機器を全リスト化
- 各機器のファームウェアが最新か、既知 CVE 対応済か確認
- 未対応があれば優先度をつけてパッチ適用
緊急 3: 管理画面の MFA + アクセス制限確認(1h)
- VPN・ファイアウォール・クラウドコンソールの管理画面に MFA があるか
- 管理インターフェースが不特定多数からアクセス可能になっていないか(IP 制限推奨)
緊急 4: 使われていない・退職者の VPN アカウント棚卸し(1h)
- Colonial Pipeline の教訓:使われていないアカウントが突破口
- 退職者・委託先・テスト用アカウントを洗い出し、不要なら削除
緊急 5: アクセスログの確認(1-2h)
- 外部公開システムへの不審なアクセス(海外 IP・認証失敗の急増)がないか
- ログを取得していなければ、まず取得設定から
5 項目で問題が見つかったら、72h 以内に
- CVE 対象機器 → 即パッチ or 暫定回避策
- 古いファームウェア → 計画的にアップデート
- MFA 未設定 → 即時設定 + IP 制限
- 不要アカウント → 即削除
- ログ不審 → 該当 IP block + 影響範囲調査 + 専門家相談
よくある質問(FAQ 10 問)
Q1. うちは Palo Alto 製品を使っていないので関係ない?
A. CVE-2026-0265 は直接関係なくても、外部公開システムの棚卸しは全企業に必要。Fortinet / Cisco / Citrix 等、別製品でも同種の脆弱性は定期的に発見される。今回を契機に自社の外部公開を点検すべき。
Q2. VPN 機器のパッチ適用は誰がやるべき?
A. 自社情シス or 保守会社。保守契約に脆弱性対応が含まれているか確認。含まれていなければ、誰が責任を持つか明確化する。
Q3. 「動いているから触らない」では駄目?
A. 駄目。VPN 機器は外部公開されており、脆弱性が放置されると攻撃の入口になる。Fortinet の事例(4 年放置)が示す通り、放置こそ最大のリスク。
Q4. パッチ適用で業務が止まるのが心配
A. ステージング環境でのテスト + メンテナンス時間帯での適用で影響を最小化。ただし Critical 脆弱性は、業務影響より侵害リスクを優先して迅速適用すべき。
Q5. 外部公開システムを減らせないか?
A. 不要な公開は減らすべき。VPN を ZTNA(ゼロトラストネットワークアクセス)に移行、RDP の直接公開をやめる等。アタックサーフェス(攻撃対象)の削減は有効な対策。
Q6. MFA を入れれば VPN は安全?
A. 大きく改善するが万全ではない。CVE-2026-0265 のような認証回避脆弱性は、MFA を通さずに突破される可能性がある。MFA + パッチ適用 + 監視の多層防御が必要。
Q7. 中小企業でも 24h 監視は必要?
A. 外部公開システムがあるなら推奨。攻撃は夜間・休日に集中する。内製が難しければ MSSP(マネージドセキュリティサービス)の活用を。
Q8. 脆弱性情報はどこで確認する?
A. JPCERT/CC 注意喚起 / IPA / 各製品ベンダーのアドバイザリ / CISA KEV カタログ。これらを定期確認する担当を決める。
Q9. クラウド管理コンソールも外部公開システム?
A. Yes。AWS / GCP / Azure の管理コンソールは最重要の外部公開システム。MFA 必須 + IP 制限 + 最小権限 + ログ監視を徹底。
Q10. 棚卸しを自社でできない場合は?
A. 外部の保守・運用パートナーや外部 CTO に依頼。外部公開システムの可視化 + 脆弱性対応 + 運用体制設計を伴走してもらうのが現実的。
参考一次ソース
- JPCERT/CC「Palo Alto Networks 製 PAN-OS における認証回避の脆弱性(CVE-2026-0265)に関する注意喚起」(2026-05-22)
- Palo Alto Networks Security Advisories
- JPCERT/CC「Fortinet 製 FortiOS の脆弱性 (CVE-2018-13379) に関する注意喚起」
- CISA Known Exploited Vulnerabilities Catalog
- CISA「Colonial Pipeline 関連」
- IPA「VPN 装置の脆弱性対策・不正アクセス対策」
- IPA 情報セキュリティ 10 大脅威 2026
- NIST NVD(National Vulnerability Database)
- 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書 (2023-03)
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
まとめ
- JPCERT/CC が 2026-05-22 に PAN-OS 認証回避脆弱性 CVE-2026-0265 の注意喚起を公開、攻撃コード公開・悪用拡大の懸念
- VPN・リモートアクセス・管理画面は **「社内への入口」**で、突破されると内部全体に被害が及ぶ
- 過去事例(Fortinet 4 年放置 / Colonial Pipeline / 大阪急性期)が示す通り、パッチ未適用・アカウント放置が致命傷
- 外部公開システムの棚卸し 12 項目で「何が公開され、更新され、監視されているか」を把握
- 開発会社・保守会社に 8 項目を確認、保守契約に脆弱性対応が含まれるかチェック
- パッチ管理 + 監視 + EDR の多層防御、中小企業は外部パートナー + MSSP 活用が現実解
「作って終わり」ではなく、外部公開システムを 把握・更新・監視し続ける運用体制が、DX 時代の中小企業を守る。
自社の外部公開システムを把握できていますか?
VPN、管理画面、社内システム、クラウド環境など、外部からアクセスできる仕組みを把握できていますか?
GXO株式会社では、中小・中堅企業向けに以下をご相談いただけます:
- 外部公開システムの棚卸し: 何が公開され、どんなリスクがあるかの可視化
- 脆弱性対応・パッチ管理: 既存システムの脆弱性確認と対応体制の設計
- 保守運用体制の見直し: 開発後の継続的な更新・監視・障害対応
- 業務システムの改修・再構築: 安全に運用できる形へのリプレース
著者: GXO株式会社 初回公開: 2026 年 5 月 22 日
