Qilinランサムウェアのアフィリエイトが、Check Point VPNのRemote AccessおよびMobile Accessに存在する認証バイパス脆弱性CVE-2026-50751を悪用していると見られると、同社が月曜日に発表しました。
CVE-2026-50751について
Check Point Remote Access VPNは、企業ネットワークとリモートまたはモバイルデバイス間の接続を有効化し、セキュリティを確保するためのソリューションです。Check Point Mobile Accessは、モバイルおよびリモートワーカーがメール、カレンダー、連絡先、そして企業アプリケーションに安全に接続できるよう設計されています。
CVE-2026-50751は両ソリューションに影響しますが、廃止予定のIKEv1鍵交換プロトコルを使用するよう設定されている場合に限られます。また、中小企業およびマネージドサービスプロバイダー向けに設計された、Check PointのAI搭載Sparkファイアウォールにも影響が及びます。
この脆弱性はロジックフローの欠陥に起因しており、認証されていないリモートの攻撃者がユーザー認証をバイパスし、有効なパスワードなしにリモートアクセスVPN接続を確立できてしまいます。
攻撃の詳細
Check Pointによると、不審なアクティビティを最初に検知したのは2026年6月4日ですが、最初に確認された実際の攻撃は2026年5月初旬に発生していました。
「現時点では、観測されている悪用は世界中で数十の組織を対象にした限定的なものにとどまっています。そのうち1件については、Qilinランサムウェアのアフィリエイトに関連する侵害後の活動が確認されています」と同社は明らかにしています。
また同社は、調査担当者や防御担当者が確認すべき侵害の痕跡(IoC)も公開しています。
「インシデントレスポンスチームは、最初に観測された悪用日である2026年5月7日を起点として、フォレンジックログ監査と設定レビューを優先して実施してください。当社の観測によると、CVE-2026-50751の悪用試みは2026年6月初旬から増加しています」と同社は補足しています。
金銭目的と見られる1件の攻撃は、Qilinランサムウェアを使用し、通信に(おそらく)Toxプロトコルを用い、(共有されたファイルハッシュの1つに基づくと)オープンソースのRcloneソフトウェアでデータを窃取する攻撃者によって実行されました。
「攻撃者は専用のVPS(仮想プライベートサーバー)インフラを使用して攻撃を展開しました。観測されたインフラには、Kaupo Cloud HK、Shock Hosting、Vultr HoldingsがホストするIPアドレスが含まれています。一部のケースでは、被害組織の所在地と攻撃に使用されたVPSのジオロケーションとの間に相関関係が見られました」とCheck Pointは述べています。
「この脅威アクターのインフラは、Palo Alto、Fortinet、F5が公表したものなど、他のVPN関連脆弱性も悪用していると考えられます。」
同社は顧客に対し、侵害の痕跡を確認したうえで、影響を受けるインスタンスをアップグレードするよう強く呼びかけています。代替の緩和策としては、廃止予定のIKEv1鍵交換プロトコルを使用する設定になっていないことを確認することが考えられます。
翻訳元: https://www.helpnetsecurity.com/2026/06/08/check-point-cve-2026-50751-qilin-ransomware/
