Check Point製VPNに認証回避、CVE-2026-50751をランサム集団が悪用中
会社の在宅勤務などで使う「Check Point」製VPN機器に、正しいパスワードがなくても社内ネットに入り込める欠陥CVE-2026-50751が見つかり、すでにランサムウェア集団による攻撃が確認されています。古い接続方式(IKEv1)を使う設定が対象で、メーカーは緊急修正を公開。対象機器は今すぐ修正の適用と侵害点検が必要です。
堀川 慎
Backend Engineer / AWS / Django / Go
会社の在宅勤務などで使う「Check Point」製VPN機器に、正しいパスワードがなくても社内ネットに入り込める欠陥CVE-2026-50751が見つかり、すでにランサムウェア集団による攻撃が確認されています。古い接続方式(IKEv1)を使う設定が対象で、メーカーは緊急修正を公開。対象機器は今すぐ修正の適用と侵害点検が必要です。
会社の在宅勤務などで使う「Check Point」製のVPN機器に、正しいパスワードを持っていなくても社内ネットワークに入り込める欠陥が見つかりました。しかもこれは将来のリスクではなく、すでにランサムウェア集団が実際の攻撃に使っている、進行中の事件です。問題の脆弱性は CVE-2026-50751、深刻度はCVSS 9.3、メーカーは2026年6月8日に緊急修正(ホットフィックス)を公開しました。
Check Point(チェック・ポイント)は、世界の大企業や官公庁が社内ネットワークの入口を守るために使う、ファイアウォール・VPNの大手メーカーです。VPNは、外出先や自宅から「社内にいるのと同じように」会社のシステムへ安全につなぐための仕組みで、その出入口をまとめて担うのがCheck Pointの機器です。その出入口の鍵がパスワード無しで開いてしまうということは、攻撃者が玄関から堂々と社内に入ってこられるのと同じです。
Check PointのVPN機器が攻撃の的になるのは、これが初めてではありません。2024年には情報を抜き取られる欠陥 CVE-2024-24919 が世界中で大規模に悪用され、社内の認証情報がごっそり盗まれる事態になりました。今回はそれに続く「2度目」であり、企業ネットワークの入口を守るはずの装置が、逆に侵入の入口として狙われ続けている構図がはっきりしてきました。
何が起きたのか — 早見表
最初に全体像を1枚で整理します。すべての設定が危ないわけではなく、古い接続方式を使っている特定の構成だけが対象になる点が重要です。
| 項目 | 内容 |
|---|---|
| 脆弱性 | CVE-2026-50751(認証回避) CVSS 9.3・無認証・遠隔から攻撃可能 |
| 何ができるか | 正しいパスワード無しで VPN接続を確立し社内へ侵入 |
| 対象 | Check Point の Security Gateway と Spark ファイアウォール (古い接続方式 IKEv1 利用時) |
| 悪用状況 | 実際に悪用中 2026年5月7日から攻撃を観測 Qilinランサムウェア集団が関与 |
| 修正 | ホットフィックス公開(SK185033) R81.20 / R82 / R82.10 向け |
この欠陥が成立するのは、古い鍵交換方式である「IKEv1」を有効にしたリモートアクセスVPN(または Mobile Access)を運用している場合です。Check Point は、攻撃の過程で見つかった関連の欠陥 CVE-2026-50752(拠点間VPNの通信に割り込まれる恐れ・CVSS 7.4)の修正も同時に公開しています。
そもそもVPNとIKEv1とは何か
VPN(仮想プライベートネットワーク)は、自宅やカフェなど社外から、暗号化したトンネルを通して会社のネットワークに安全につなぐ仕組みです。コロナ禍以降、在宅勤務の標準的な入口になりました。Check Point の Security Gateway は、このVPNの受け口であると同時に、社内と社外を隔てるファイアウォール(防火壁)の役割も兼ねています。つまり会社のネットワークの「正面玄関の門番」です。
VPNでつなぐとき、通信相手が本物かを確認し、暗号化の鍵を安全に取り決める手順が必要です。その手順の規格が「IKE(Internet Key Exchange)」で、古い世代が「IKEv1」、新しい世代が「IKEv2」です。IKEv1 は設計が古く、業界全体で非推奨(使わないことが推奨される)とされてきました。今回の欠陥は、この古い IKEv1 を使った接続で、相手が提示する電子証明書の確認の仕方に論理的な抜けがあり、本来パスワードで弾かれるはずの相手をそのまま通してしまう、というものです。
攻撃者の目的は、このVPNの門を「正規の社員のふり」をして通り抜けることです。一度トンネルが張られれば、そこから社内ネットワークに足場を作り、ランサムウェア(データを暗号化して身代金を要求する攻撃)の展開や、機密データの抜き取りへと進みます。なお、VPN接続が成立しただけで社内のすべてに手が届くわけではありませんが、内側に一歩入られた時点で、その後の被害拡大の起点を握られたことになります。
攻撃者像と狙い — 誰が、何のために、何を持っていくのか
「VPNの認証回避」と聞いても、自分の生活に何が起きるのかは想像しづらいものです。そこで、この門をこじ開けたいのが誰で、入り込んだ先で何を持ち去るのかを、攻撃者の側から具体的に並べます。今回はすでに実行犯の正体まで分かっている、めずらしく具体的な事件です。
この門を本気で抜けたい相手は、企業を狙って身代金を稼ぐQilin(キーリン)ランサムウェア集団とその実行役、企業ネットワークへの侵入口だけを売買する初期アクセスブローカー、そして製造業や医療機関の操業を人質に取る組織といった、金銭目的のはっきりした犯罪者です。彼らがVPNの内側で狙うものは具体的です。社内ファイルサーバーの設計図や顧客名簿、会計・人事のデータベース、業務を止めれば確実に身代金が取れる基幹システムやVMware ESXi上の仮想マシン群、そしてActive Directory(社員アカウントを束ねる社内の認証基盤)。このCVE-2026-50751で門を抜かれた瞬間、攻撃者は「社内にいる正規利用者」の位置に立ち、これらへ手を伸ばす起点を得ます。
事前の偵察も難しくありません。インターネットに面したCheck PointのVPN受け口は外から見つけやすく、攻撃者は脆弱な機器を探し当てては、古いIKEv1が有効な構成を狙い撃ちにします。実際、今回の実行役は Help Net Security によれば、データの吸い出しに Rclone を、連絡手段に Tox を、遠隔操作に Sliver を使い、被害企業と同じ国に置いたレンタルサーバー(VPS)から接続して足跡をぼかしていました。彼らはCheck Pointだけを狙っているわけではなく、Palo Alto・Fortinet・F5・WatchGuard など各社のVPN製品の欠陥を横断的に突いていると報告されています。
CVSS 9.3という数字は、門が1つ破られる技術的な深刻度を示すだけです。VPNの内側を踏まれた企業が本当に失うのは、暗号化されて動かなくなる基幹システム、闇サイトで公開すると脅される顧客情報、操業停止が続く日々の売上、そして「うちのセキュリティは大丈夫」と取引先に説明してきた信頼そのものです。とりわけ、長年動かしてきた古いVPN設定をそのまま運用してきた組織ほど、IKEv1を切るタイミングを逃したまま、今まさに狙われている構造になっている点が、この事件のもっとも厳しいところです。
CVE-2026-50751の中身 — 4つの条件がそろうと門が開く
脆弱性の正体は、IKEv1を使った接続時の電子証明書の確認処理にある論理的な欠陥です(脆弱性分類はCWE-287、認証の不備)。本来はパスワードや正しい証明書がなければ弾かれるはずの接続を、検証ロジックの抜けによって「正規の利用者」として通してしまいます。攻撃ベクトルは AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N。ネットワーク越しに、事前の権限も利用者の操作も不要で成立します。
ただし、どの機器でも無条件に起きるわけではありません。Check Point によれば、次の4つの条件がすべて同時にそろったときに攻撃が成立します。逆に言えば、ひとつでも崩せば当面の緊急回避になります。
攻撃が成立する4条件(すべて同時に成立した場合)
- リモートアクセスVPN または Mobile Access が有効になっている
- リモートアクセスで IKEv1 が有効になっている
- ゲートウェイが旧来のリモートアクセスクライアントを受け入れる設定になっている
- 接続時に機器証明書(マシン証明書)を必須にしていない
つまり、IKEv1を無効にする、旧クライアントを拒否する、接続にマシン証明書を必須化する——のいずれかを行えば、修正適用前でも攻撃を成立させない構成に寄せられます。とはいえ恒久対策は修正の適用です。Check Point は SK185033 で R81.20・R82・R82.10 向けのホットフィックスを配布しています。
誰が、いつから悪用していたのか
今回の事件で特徴的なのは、修正が存在しない「ゼロデイ」の状態が約1か月続いていたことです。TheNextWeb や Check Point の発表によれば、最初の攻撃は2026年5月7日に始まっていました。Check Point が不審な活動に気づいて調査を開始したのが6月4日、緊急修正と注意喚告の公開が6月8日です。その間、対象企業は気づかぬまま狙われ続けていたことになります。
Check Point は「攻撃者は金銭目的である」と中程度の確度で評価し、実際の侵害事案の1件で Qilin(別名 Agenda)ランサムウェアの関与を確認したとしています。Qilin は企業VPNを侵入口にすることで知られ、過去には WatchGuard や Fortinet の機器も悪用してきました。今回観測された攻撃インフラは Kaupo Cloud HK、Shock Hosting、Vultr のレンタルサーバーが使われ、被害企業の所在地とサーバーの地理的位置に相関があったと報告されています。現時点で確認された被害は「世界で数十組織」とされ、無差別の大量攻撃というより、標的を絞った侵入の段階です。
Check Point はブログで、攻撃元のIPアドレスや不正ファイルのハッシュ値といった侵害の痕跡(IoC)も公開しています。自社のVPN機器が対象構成に当てはまる場合は、これらのIoCとの照合と、過去のVPNログの点検を急いでください。
2026年6月までの経過
2024年の大規模悪用から今回までの流れを時系列で整理します。同じメーカーのVPNが、2年の間隔をおいて再び攻撃の主戦場になっている点に注目してください。
← スワイプで移動
2024年の再来 — VPNが狙われ続ける理由
2024年5月、Check PointのVPNでは CVE-2024-24919 という情報窃取の欠陥が世界中で悪用されました。攻撃者は認証なしでパスワードのハッシュ値を引き抜き、わずか数時間で Active Directory の中核ファイル「ntds.dit」まで持ち出す事例が報告され、CISAは公開2日後の5月30日に実被害リストへ登録しています。VPN機器が「社内のすべてに通じる一点」であるがゆえに、ひとつの欠陥が会社全体の陥落に直結したのです。
企業VPNが繰り返し狙われるのは、(1) インターネットに必ず露出している、(2) 突破すれば社内ネットの内側に一気に入れる、(3) 多くの企業が更新を後回しにしがち、という3拍子がそろっているからです。Check Pointに限らず、Palo Alto・Fortinet・Citrix・Ivanti など主要VPN製品はどれも同じ理由で標的にされ続けています。今回のQilinのように、複数メーカーのVPN欠陥を横断的に突く集団が存在する以上、「VPN機器の更新はサーバー以上に優先する」という運用方針が必要です。米政府が公開する実際に攻撃されている脆弱性の一覧(CISA KEVダッシュボード日本語版)でも、VPN・ネットワーク機器の欠陥は常に上位を占めています。
自分の機器が対象か — バージョン別早見表
対象バージョンと、修正が提供されるかどうかを整理します。サポート終了(EOS)のバージョンには修正が出ないため、新しい版へのアップグレードが必要です。
| バージョン | 対象 | 対応 |
|---|---|---|
| R82.10 | Jumbo Take 19以下 | ホットフィックス適用 (SK185033) |
| R82 | Jumbo Take 103以下 | ホットフィックス適用 |
| R81.20 | Jumbo Take 141以下 | ホットフィックス適用 |
| R81.10 / R81 R80.40 / R80.20.X | 全体(サポート終了) | 修正なし 新バージョンへ アップグレード必須 |
| Spark ファイアウォール | R80.20.X / R81.10.X / R82.00.X | 対応版へ更新 (中小企業向け機器) |
Spark は中小企業やマネージドサービス向けの小型機器ですが、こちらも同じ条件で影響を受けます。社内で「古いから」と放置されがちな小型VPN機器こそ、今回の対象として見落とさないでください。
今すぐやる対応
Check Point のVPN機器を運用しているなら、以下を順に進めてください。1番は最優先、2〜5番もあわせて即対応を。
| # | 対応 | 具体的に何をするか |
|---|---|---|
| 1 | ホットフィックス を即適用 | SK185033 に従い R81.20/R82/R82.10へ適用。 |
| 2 | IKEv1を 無効化 | リモートアクセスを IKEv2のみに。 4条件のひとつを崩す。 |
| 3 | サポート終了版は アップグレード | R81.10以下は修正なし。 R81.20以上へ移行。 |
| 4 | 侵害痕跡を 点検 | Check Point公開のIoC (IP・ハッシュ)と VPNログを照合。 |
| 5 | 機器証明書を 必須化 | 接続にマシン証明書を 要求する設定で 当面の回避線に。 |
すでに約1か月のあいだ悪用が続いていた事案である以上、「修正を当てたから安心」では足りません。4番の侵害点検は必須です。対象構成だった機器は、すでに不正なVPN接続が行われていた前提で、VPNの接続ログ・管理者アカウント・社内への不審な通信を遡って確認してください。少しでも痕跡があれば、認証情報のローテーションと専門のインシデント対応が必要です。
締め — 「門番」を最優先で守り直す
CVE-2026-50751 が突きつけているのは、社内ネットワークの正面玄関を守るはずのVPN機器が、設定ひとつで侵入の入口に反転するという現実です。今回は古い接続方式 IKEv1 を有効にしたまま運用していた構成が狙われました。便利だから、止めると困る人がいるから、と先送りにしてきた「古い設定」が、ランサムウェア集団にとっての最良の入口になっていたわけです。
運用者にできる最善は、(a) VPN・ネットワーク機器の更新をサーバー以上の優先度で回すこと、(b) IKEv1のような非推奨の古い方式を計画的に廃止すること、(c) 万一に備えて侵害の痕跡を定期的に点検すること、の3点です。2024年の大規模悪用を経てなお同じメーカーのVPNが狙われている事実は、「VPNは入れたら終わり」ではなく「入れたあとも守り続ける対象」であることを示しています。
まだ対応していない環境は、Check Point公式の注意喚起と SK185033 を確認のうえ、今すぐの適用と侵害点検を強く推奨します。
参照元
- ▸Check Point Blog - Active Exploitation of Check Point VPN Authentication Bypass (CVE-2026-50751)(2026年6月8日)
- ▸NVD - CVE-2026-50751
- ▸Check Point Support - SK185033(CVE-2026-50751 ホットフィックス)
- ▸Check Point Support - SK185035(CVE-2026-50752)
- ▸Help Net Security - Qilin ransomware affiliate exploited Check Point VPN zero-day
- ▸TheNextWeb - A Qilin ransomware affiliate exploited a Check Point VPN zero-day
- ▸Tenable - CVE-2024-24919(2024年の大規模悪用)
- ▸Rapid7 - CVE-2024-24919 Check Point Security Gateway Information Disclosure