Check Point VPNの認証回避脆弱性-サイバー攻撃への悪用確認(CVE-2026-50751)|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月10日更新日時: 2026年06月10日

Check Pointは2026年6月8日、Remote Access VPNおよびMobile Accessに影響する認証回避ば脆弱性 CVE-2026-50751について、実際の悪用を確認したと公表しました。

CVE-2026-50751は、非推奨のIKEv1鍵交換プロトコルを利用する構成において、証明書検証のロジック不備により、攻撃者が有効なユーザーパスワードなしでリモートアクセスVPN接続を確立できる脆弱性です。CVSS v3.1の基本値は9.3で、Criticalに分類されています。

Check Pointによると、観測された悪用は世界で数十組織程度の標的型の範囲に限定されているものの、少なくとも1件ではQilinランサムウェアのアフィリエイトに関連する侵害後活動が確認されています。

サマリー

Check Point VPNの認証回避脆弱性CVE-2026-50751が悪用されています。
対象は、Remote Access VPNまたはMobile Accessで非推奨のIKEv1を利用する構成です。
攻撃者は有効なパスワードなしにVPN接続を確立できる可能性があります。
CVSS v3.1は9.3で、Criticalに分類されています。
Check Pointは、2026年5月7日以降の調査を優先するよう案内しています。
悪用は世界で数十組織規模に限定されているとされています。
1件ではQilinランサムウェアのアフィリエイトに関連する侵害後活動が確認されています。
併せてCVE-2026-50752も修正されていますが、こちらの悪用は確認されていません。
IKEv1を利用している環境は、ホットフィックス適用、IKEv2への移行、レガシー接続の無効化、マシン証明書必須化を検討する必要があります。

1 何が起きたか
2 影響を受ける条件
3 影響を受ける製品・バージョン
4 CVE-2026-50752も同時に修正
5 なぜ危険なのか
6 確認すべきIoC
7 すぐに実施すべき対応
8 VPN後の内部アクセス確認
9 情報システム部門が確認すべきポイント
10 今後確認すべきこと
11 参考情報・出典

何が起きたか

Check Point Researchは、CVE-2026-50751の悪用を実際に確認しました。

同社によると、2026年6月4日に不審な活動の兆候を受けて調査を開始し、最も早い悪用観測日は2026年5月7日とされています。また、悪用試行は6月上旬に増加したと説明されています。

この脆弱性を悪用されると、攻撃者はVPN接続の認証要件を回避し、パスワードを持たずにVPNセッションを確立できる可能性があります。ただし、Check Pointは、内部リソースへのアクセスや権限昇格には追加の侵害後活動が必要だと説明しています。

影響を受ける条件

NHS England Digitalは、影響を受ける構成として、以下の条件をすべて満たすCheck Point Security GatewayおよびSpark Firewallを挙げています。

条件	内容
1	VPN Remote AccessまたはMobile Accessが有効
2	リモートアクセスでIKEv1が有効
3	レガシーRemote Accessクライアント接続を受け入れている
4	接続時にマシン証明書を必須にしていない

この点は重要です。Check Point製品を利用しているすべての環境が同じ条件で影響を受けるわけではありません。

一方で、Remote Access VPNはインターネットに公開されることが多く、攻撃者にとって初期侵入の標的になりやすい領域です。IKEv1を残している環境や、古いクライアント互換性のためにレガシー接続を許可している環境では、優先して確認する必要があります。

影響を受ける製品・バージョン

Check Pointの公式ブログでは、CVE-2026-50751の影響製品として、Mobile Access / SSL VPN、Remote Access VPN、Spark Firewallを挙げています。影響バージョンには、R80.20.X、R80.40、R81、R81.10、R81.10.X、R81.20、R82、R82.00.X、R82.10が含まれます。

NHS England Digitalは、影響プラットフォームを以下のように整理しています。

製品・系統	影響バージョン
Check Point Quantum Security Gateway / Maestro Orchestrator / Security Group	R80.40、R81、R81.10、R81.20 Jumbo Hotfix Take 141以下、R82 Jumbo Hotfix Take 103以下、R82.10 Jumbo Hotfix Take 19以下
Check Point Spark Firewall	R80.20.X、R81.10.X、R82.00.X
Check Point Remote Access VPN	影響対象
Check Point Mobile Access	影響対象

R80.40、R81、R81.10、R80.20.Xなど、一部はサポート終了バージョンとして示されています。古いバージョンを継続利用している環境では、ホットフィックス適用だけでなく、サポート対象バージョンへの更新計画も必要です。

CVE-2026-50752も同時に修正

Check Pointは、CVE-2026-50751の調査の過程で、追加の脆弱性CVE-2026-50752も特定し、修正したと説明しています。

CVE-2026-50752は、非推奨のIKEv1鍵交換における証明書検証ロジックの問題で、特定条件下でサイト間VPN通信に対する中間者攻撃を許す可能性があります。CVSSは7.4で、Check Pointはこの脆弱性の悪用は確認していないとしています。

CVE	内容	CVSS	悪用状況
CVE-2026-50751	Remote Access VPN / Mobile Accessの認証回避	9.3	悪用確認済み
CVE-2026-50752	IKEv1証明書検証に関するサイト間VPNの中間者攻撃リスク	7.4	悪用未確認

なぜ危険なのか

CVE-2026-50751の危険性は、VPNの認証を回避できる点にあります。

VPNは、社外から社内ネットワークへ入るための正規入口です。ここで認証回避が成立すると、攻撃者はフィッシングでユーザーをだます前に、境界装置を直接悪用して内部ネットワークへ足場を作れる可能性があります。

特に危険なのは、VPN接続後のアクセス範囲が広い環境です。

想定される影響	内容
内部ネットワーク到達	VPN経由で社内サーバや管理系ネットワークへ到達される恐れ
認証情報窃取	ファイルサーバ、AD、管理端末から認証情報を収集される可能性
横展開	RDP、SMB、WinRM、SSHなどで他システムへ移動される恐れ
データ窃取	共有フォルダ、業務システム、バックアップ領域から情報を取得される可能性
ランサムウェア展開	侵入後にデータ暗号化や破壊へ進む恐れ
検知遅延	VPN接続が正規通信に見え、初動検知が遅れる可能性

Check Pointは、少なくとも1件でQilinランサムウェアのアフィリエイトに関連する侵害後活動を確認しています。VPN機器の脆弱性は、ランサムウェア攻撃の初期侵入経路として悪用されやすい点を改めて意識する必要があります。

確認すべきIoC

Check Pointは、CVE-2026-50751の悪用調査に関連するIoCを公開しています。公式ブログでは、複数のIPアドレスとハッシュ値が示されています。

種別	IoC
IP	45.77.149[.]152
IP	209.182.225[.]136
IP	38.60.157[.]139
IP	162.33.177[.]101
IP	45.76.26[.]42
IP	144.208.127[.]155
IP	38.54.88[.]201
IP	38.54.107[.]167
IP	66.42.99[.]200
Hash	52fda5c1b9704544f32ee98d9060e689
Hash	51d39aa39478beeac94f2d12f682ecce

これらのIoCは、防御・調査目的で利用してください。ただし、IoCに一致しないから安全とは判断できません。攻撃者はインフラを変更するため、ログ調査ではIoC照合に加え、IKEv1、VPN接続成功、通常外の送信元、深夜帯の接続、VPN後の内部通信を確認する必要があります。

すぐに実施すべき対応

Step 1：Check Point VPNの利用有無を確認する

まず、自社でCheck Point Remote Access VPN、Mobile Access、Spark Firewallを利用しているか確認してください。

確認対象は、本社だけではありません。海外拠点、子会社、工場、委託先運用環境、DR環境、検証環境も含めて確認する必要があります。

確認対象	内容
本社VPN	Remote Access VPN / Mobile Accessの有無
海外拠点	現地管理のCheck Point Gateway
子会社	独自に導入したVPN装置
工場・拠点	レガシークライアント互換性のためIKEv1を残していないか
DR環境	古い設定のまま待機系が残っていないか
Spark Firewall	小規模拠点向け機器でVPNを使っていないか

Step 2：IKEv1が有効か確認する

今回の脆弱性は、非推奨のIKEv1を利用する構成が重要な条件です。

SmartConsoleやGateway設定で、Remote Access VPNおよびMobile AccessにおいてIKEv1が有効になっていないか確認してください。

確認すべき項目は以下です。

確認項目	内容
IKEv1	リモートアクセスで有効になっていないか
IKEv2	IKEv2のみへ移行できるか
Legacy Remote Access Client	レガシークライアント接続を許可していないか
Machine Certificate	マシン証明書を必須にしているか
Mobile Access	利用有無と公開範囲
VPN設定変更履歴	最近変更された設定がないか

Step 3：ホットフィックスを適用する

Check Pointは、影響を受けるSecurity Gatewayに対し、公開済みホットフィックスを適用するよう案内しています。

更新前には、以下を確認してください。

項目	内容
対象バージョン	R81.20、R82、R82.10など利用中の系統
Jumbo Hotfix Take	現在のTake番号と修正済みTake
HA構成	Active/Standby、ClusterXL、Maestroの適用手順
バックアップ	Gaia設定、ポリシー、オブジェクトDB、スナップショット
停止影響	VPN利用者、拠点間通信、保守作業時間
ロールバック	更新失敗時の復旧手順
検証	VPN接続、拠点間VPN、Mobile Accessの動作確認

Step 4：すぐに更新できない場合の緩和策を実施する

NHS England Digitalは、Check Pointが示す緩和策として、少なくとも1つの対策を適用するよう案内しています。

緩和策	内容
レガシーRemote Accessクライアント接続のサポートを削除	StrongSwan、L2TP、古いクライアントが接続できなくなる可能性あり
Remote Access VPN AuthenticationをIKEv2のみに設定	IKEv1を使わない構成へ変更
Machine Certificate Authenticationを必須化	マシン証明書なしの接続を許可しない

最も望ましい対応は、ホットフィックス適用とIKEv1からの移行です。業務都合ですぐにパッチを適用できない場合でも、IKEv1の無効化やマシン証明書必須化を先に実施できるか検討してください。

Step 5：2026年5月7日以降のログを調査する

Check Pointは、最も早い悪用観測日である2026年5月7日以降のフォレンジックログ監査と設定レビューを優先するよう案内しています。

確認すべきログは以下です。

ログ	見るべき内容
VPN接続ログ	通常と異なる送信元からの接続成功
IKEログ	IKEv1接続、証明書検証、認証異常
SmartConsoleログ	IoCに一致するIP、未知のVPS、海外IP
Gatewayログ	VPN確立後の内部通信
AD / LDAP	VPN接続後の認証試行
EDR	VPN接続元に関連する横展開ツール実行
ファイルサーバログ	大量アクセス、大量コピー、圧縮
プロキシ・DNS	Tox、Rclone、未知C2への通信兆候

Check Pointは、攻撃者が専用VPSインフラを使用し、Kaupo Cloud HK、Shock Hosting、Vultr Holdingsなどのホスティング事業者のIPを使っていたと説明しています。

VPN後の内部アクセス確認

CVE-2026-50751は、VPN接続を確立できる脆弱性です。侵害調査では、VPN接続の有無だけでなく、接続後に内部で何が行われたかを確認する必要があります。

確認対象	内容
VPN割当IP	不審接続に割り当てられたIP
内部FWログ	VPNセグメントからサーバへの通信
ADログ	Kerberos、NTLM、LDAP、管理者ログオン
ファイル共有	SMBアクセス、ファイル列挙、大量コピー
管理系通信	RDP、WinRM、SSH、vSphere、管理コンソール
バックアップ	バックアップサーバへのアクセス
クラウド認証	VPN接続後のSaaS・クラウド管理画面アクセス
データ持ち出し	Rclone、MEGAsync、curl、scpなどの利用痕跡

Check Pointの公式ブログでは、Qilinランサムウェア関連活動との重なりや、Toxプロトコルの利用を示す兆候、悪意あるELFファイルのダウンロード試行への言及があります。VPN突破後の調査では、Linux系ツールやデータ持ち出しツールの実行痕跡も確認してください。

情報システム部門が確認すべきポイント

IKEv1を例外運用として残していないか確認する

IKEv1は古いVPNクライアントや一部の接続方式との互換性のために残されていることがあります。

しかし、今回のような脆弱性が出ると、互換性のために残した設定が境界侵害の入口になります。業務上必要な接続先を棚卸しし、IKEv2へ移行できないクライアントや拠点を特定してください。

VPN接続後のアクセス範囲を狭める

VPNを突破された場合でも、内部全体へ到達できないようにすることが重要です。

利用者種別	推奨される制御
一般ユーザー	業務アプリ、必要なファイル共有のみに限定
管理者	踏み台、MFA、操作ログ、時間制限
委託先	作業対象システム、作業時間、接続元IPを限定
海外拠点	拠点ごとにアクセス先を分離
レガシー端末	VPN接続を許可しない、または隔離ネットワークへ誘導

VPN装置を通常のサーバより優先して更新する

VPN、ファイアウォール、SASE、リモートアクセス装置は、インターネットに公開される境界機器です。

脆弱性が悪用された場合、EDRが入っていないアプライアンス上で侵害が進み、内部ネットワークへの入口になります。一般的な社内サーバよりも早いSLAでパッチ適用する運用が必要です。

今後確認すべきこと

CVE-2026-50751は、すでに悪用が確認されています。公開後は、攻撃者が追加の検証やスキャンを行う可能性があります。

確認点	理由
ホットフィックス適用状況	根本的な対策として必要
IKEv1の無効化	影響条件を除去するため
マシン証明書必須化	認証回避リスクを下げるため
2026年5月7日以降のログ	既に悪用されていないか確認するため
IoC照合	Check Point公開IoCとの一致確認
VPN後の内部通信	侵害後活動の有無を確認するため
Qilin関連TTP	ランサムウェア前段階の活動を確認するため
サポート終了バージョン	ホットフィックス適用可否と移行計画に関係するため