イスラエルのサイバーセキュリティ企業Check Pointは、リモートアクセスVPNおよびモバイルアクセス製品に影響を与える重大な脆弱性にパッチを適用するセキュリティアップデートをリリースしました。この脆弱性はゼロデイ攻撃として悪用されていました。
CVE-2026-50751として追跡されているこの脆弱性を悪用すると、未認証のリモート攻撃者がモバイルアクセス/SSL VPN、リモートアクセスVPN、またはSparkファイアウォールの認証をバイパスし、リモートアクセスVPN接続を確立できてしまいます。
同社によると、この脆弱性は廃止済みのIKEv1鍵交換プロトコルを使用するよう設定された環境にのみ影響するとのことです。具体的には、レガシーなリモートアクセスクライアントを受け入れ、接続にマシン証明書を要求しないセキュリティゲートウェイが対象となります。
攻撃は5月7日に始まり、6月初旬に急増しました。現時点で被害を受けた組織は世界全体で「数十社」にとどまっており、そのうち少なくとも1件はQilinランサムウェアの活動に関連していることが確認されています。
「Check Point Researchは、廃止済みのIKEv1鍵交換プロトコルを使用するよう設定されたCheck PointリモートアクセスVPNおよびモバイルアクセス環境に影響する重大な認証バイパス脆弱性CVE-2026-50751について、積極的な悪用を確認しました」と同社は警告しています。
「現時点で確認されている悪用は、世界全体で数十の組織を標的としたものにとどまっています。うち1件では、Qilinランサムウェアのアフィリエイトによる侵害後の活動が確認されました。IKEv1鍵交換プロトコルを使用しているお客様は、提供されているセキュリティアップデートを直ちに適用することを強くお勧めします。」
Check Pointはまた、脆弱なシステムに直ちにパッチを適用できないユーザー向けに緩和策も公開しています。具体的には、レガシーリモートアクセスクライアントのサポート削除、リモートアクセスVPN認証のグローバルプロパティをIKEv2のみに設定、マシン証明書認証の必須化、IPSの有効化とシグネチャのダウンロードが推奨されています。
Check PointはCVE-2026-50751の調査中に、廃止済みのIKEv1鍵交換における証明書検証に影響する第2の脆弱性(CVE-2026-50752)も発見しました。この脆弱性は、サイト間VPN接続に対する中間者攻撃(MITM)に悪用される可能性があります。
Check PointはCVE-2026-50752の実際の悪用事例をまだ確認していませんが、潜在的なリスクを軽減するためにアップデートの適用を推奨しています。
Qilinは2022年8月に「Agenda」という名称のRansomware-as-a-Service(RaaS)オペレーションとして登場し、これまでにダークウェブのリークサイトで約400もの被害組織を公表しています。
同グループの被害者リストには、自動車大手のYangfeng、日産自動車、日本のビールメーカーアサヒビール、出版大手Lee Enterprises、病理サービスプロバイダーSynnovis、オーストラリアのCourt Services Victoriaといった著名な組織も含まれています。
攻撃者より先に、あらゆる防御層をテストする
セキュリティチームが検知できる攻撃の成功率はわずか54%、アラートを発生させられるのはそのうちの14%にすぎません。残りの脅威は検知をすり抜けて環境内を移動し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールを検証し、脅威の検知漏れを防ぐ方法を解説しています。
