Citrix(Cloud Software Group)は2026年3月23日、NetScaler ADCおよびNetScaler Gatewayに影響する2件の脆弱性を修正するセキュリティアドバイザリ(CTX696300)を公開しました。うち1件のCVE-2026-3055はCVSS v4.0で9.3の重大評価を受けており、未認証の攻撃者がアプライアンスのメモリから機密情報を読み取れる可能性があります。本記事ではベンダー公式アドバイザリとRapid7、CERT-EUの分析に基づき、影響範囲と実務上の対処を解説します。
2件の脆弱性の概要
CVE-2026-3055:Out-of-Bounds Read(CVSS v4.0: 9.3 / Critical)
入力検証の不備に起因するメモリ境界外読み取り(CWE-125)の脆弱性です。未認証のリモート攻撃者が、アプライアンスのメモリからセッショントークンや認証情報を含む可能性のある機密データを読み取ることができます。
技術的な前提条件は1つで、アプライアンスがSAML Identity Provider(SAML IDP)として構成されていることです。デフォルト構成では影響を受けません。
自環境の構成を確認するには、NetScalerの設定ファイルで以下の文字列を検索します。
add authentication samlIdPProfile .*この文字列が存在すれば、SAML IDP構成が有効であり、CVE-2026-3055の影響を受けます。
CVE-2026-4368:Race Condition(CVSS v4.0: 7.7 / High)
レースコンディション(CWE-362)に起因するユーザーセッション混在の脆弱性です。特定のタイミング条件下で、あるユーザーのリクエストが別のユーザーの認証済みセッションに誤って紐づけられ、管理者セッションを含む高権限セッションの乗っ取りにつながる可能性があります。
この脆弱性の影響を受けるのは、アプライアンスがGateway(SSL VPN、ICA Proxy、CVPN、RDP Proxy)またはAAA仮想サーバーとして構成されている場合です。確認するには、設定ファイルで以下のいずれかを検索します。
add vpn vserver .*
add authentication vserver .*影響を受けるバージョンと修正版
| CVE | 製品 | 影響を受けるバージョン | 修正版 |
|---|---|---|---|
| CVE-2026-3055 | NetScaler ADC / Gateway 14.1 | 14.1-66.59より前 | 14.1-66.59以降 |
| CVE-2026-3055 | NetScaler ADC / Gateway 13.1 | 13.1-62.23より前 | 13.1-62.23以降 |
| CVE-2026-3055 | NetScaler ADC 13.1-FIPS / 13.1-NDcPP | 13.1-37.262より前 | 13.1-37.262以降 |
| CVE-2026-4368 | NetScaler ADC / Gateway 14.1 | 14.1-66.54 | 14.1-66.59以降 |
ベンダー公式によれば、13.1-FIPSおよび13.1-NDcPPエディションで影響を受けるのはNetScaler ADCのみであり、Gatewayは対象外です。
今回のアドバイザリはカスタマー管理のNetScaler ADC / Gatewayが対象です。CitrixマネージドクラウドサービスおよびAdaptive Authenticationについては、Cloud Software Group側で必要な修正が適用済みです。
CitrixBleedの再来 ── 3年連続の「Bleed」脆弱性
NetScalerのメモリ漏洩型脆弱性はこれが3度目です。2023年のCitrixBleed(CVE-2023-4966)、2025年のCitrixBleed 2(CVE-2025-5777)に続き、CVE-2026-3055は同じ製品の同じ種類の脆弱性として登場しました。watchTowr CEOのBenjamin Harrisは「CVE-2026-3055によりNetScaler ADCのメモリから機密情報を読み取れる。聞き覚えがあるとすればその通りで、CitrixBleedやCitrixBleed 2と酷似している。あれらは今も多くの組織にとってトラウマだ」とThe Hacker Newsに対しコメントしています。
過去の経緯を見ると、この種のNetScaler脆弱性はPoCが公開され次第、急速に野生悪用されてきました。2026年3月24日時点では、CVE-2026-3055の野生悪用や公開PoCは確認されていませんが、Rapid7は「エクスプロイトコードが公開されれば悪用が発生する可能性が高い」と評価しています。Arctic Wolfも「攻撃の複雑性が低くインパクトが大きいため、脅威アクターはこの脆弱性を標的にしパッチのリバースエンジニアリングを試みる可能性が高い」との見解を示しています。
公開前の不透明な事前通知
Coalitionの分析によれば、Citrixは正式なアドバイザリ公開の約6日前にあたる3月17日に、顧客宛メールで「すべてのCitrix製品に対し利用可能なパッチとアップデートを直ちに適用するよう」呼びかけていました。しかしこのメールにはCVE番号も技術的な詳細も含まれておらず、多くのITチームは実際の脅威を把握できないまま3月23日の正式公開を待つことになったと報じられています。
事前の注意喚起自体は歓迎すべきですが、具体的なCVE情報なしでは実務者がリスク評価も優先度判断もできません。対処が必要な脆弱性の特定ができないまま「全部パッチを当てろ」という指示では、大規模環境で合理的な判断は困難です。
実務者が今すぐ点検したいポイント
構成の確認
まず自環境のNetScaler設定を確認し、SAML IDP構成(CVE-2026-3055の前提条件)およびGateway/AAA構成(CVE-2026-4368の前提条件)が有効かどうかを特定してください。前述の設定文字列検索で判定できます。
パッチ適用の優先順位
CERT-EUは、インターネットに面したアプライアンスのうちSAML IDP構成またはGateway/AAA構成が有効なものを最優先で修正するよう勧告しています。パッチ適用が即座に困難な場合は、CERT-EUが推奨する暫定策として、NetScaler GatewayおよびAAA仮想サーバーへのアクセスをIPアドレス制限等のネットワークレベルで制御することが挙げられています。また、Citrixが公開しているGlobal Deny List(GDL)緩和策は再起動なしで適用でき、パッチ展開までの時間稼ぎとして有効です。
パッチ適用後のセッション無効化
パッチを適用しただけでは、侵害済みのセッショントークンが残存する可能性があります。CERT-EUは、パッチ適用後に以下のコマンドですべてのアクティブセッションおよび永続セッションを強制終了するよう推奨しています。
kill aaa session -all
kill icaconnection -all
kill rdp connection -all
kill pcoipConnection -all
clear lb persistentSessionsフォレンジクス用スナップショット
CERT-EUはパッチ適用前にアプライアンスのスナップショットを取得するよう推奨しています。これは、パッチ適用後に過去の悪用の痕跡を調査する必要が生じた場合に備えるためです。
既知の問題への注意
Citrixはビルド14.1-66.54および14.1-66.59において、STAサーバーバインディングの設定がフルパス(/scripts/ctxsta.dll)で行われている場合にバインディングが失敗する既知の問題を確認しています。パッチ適用後に認証フローに問題が発生した場合は、この点を確認してください。
一次ソース:
Citrix Security Bulletin CTX696300(2026年3月23日) ── support.citrix.com
Rapid7 Emergent Threat Response「CVE-2026-3055: Citrix NetScaler ADC and NetScaler Gateway Out-of-Bounds Read」(2026年3月23日) ── rapid7.com
CERT-EU Security Advisory 2026-003(2026年3月23日) ── cert.europa.eu
Arctic Wolf「CVE-2026-3055」(2026年3月23日) ── arcticwolf.com
Coalition Security Labs「Bleed Trilogy Complete」(2026年3月23日) ── coalitioninc.com
コメント