CISAは米国政府機関に対し、Qilinランサムウェアのアフィリエイトによるゼロデイ攻撃で悪用されている重大な脆弱性から、Check PointのRemote Access VPNおよびMobile Access環境を保護するよう命令しました。
認証されていないリモート攻撃者がこの脆弱性(CVE-2026-50751として追跡)を悪用することで、認証を回避し、標的となったMobile Access/SSL VPN、Remote Access VPN、またはSparkファイアウォールにリモートアクセスVPN接続を確立できます。
この脆弱性は、廃止されたIKEv1鍵交換プロトコルを使用するよう設定されており、接続にマシン証明書を要求せず、レガシーRemote Accessクライアントを受け入れるセキュリティゲートウェイにのみ影響します。
イスラエルのサイバーセキュリティ企業Check Pointは月曜日にCVE-2026-50751に対処するセキュリティアップデートをリリースし、5月7日に始まり週末にかけて急増した攻撃において悪用されていると指摘しました。
攻撃による侵害を受けた組織は世界で「数十社」にとどまっているものの、Check Pointは少なくとも1件のインシデントをQilin Ransomware-as-a-Service(RaaS)の活動に関連付けています。Qilinは2022年8月に登場して以来、ダークウェブのリークサイトで400件以上の被害を申告しています。
「現時点で観測された悪用は、世界で数十の組織を標的としたものにとどまっています。1件のケースでは、Qilinランサムウェアのアフィリエイトに関連した侵害後の活動が確認されました」と同社は述べています。「IKEv1鍵交換プロトコルを使用しているお客様は、利用可能なセキュリティアップデートを直ちに適用することを強くお勧めします。」
Check Pointはパッチを適用できない場合の緩和策も公開しており、レガシーリモートアクセスクライアントのサポート削除、Remote Access VPN認証のグローバルプロパティをIKEv2のみに設定、IPSの有効化とシグネチャのダウンロード、そしてマシン証明書認証の必須化を推奨しています。
連邦機関への6月11日までのパッチ適用命令
CISAは昨日、CVE-2026-50751をKnown Exploited Vulnerabilities(KEV)カタログに追加し、Binding Operational Directive(BOD)22-01の規定に基づき、連邦民間行政機関(FCEB)に対して6月11日までにデバイスを保護するよう命令しました。
「このタイプの脆弱性は、悪意のあるサイバー攻撃者にとって頻繁に利用される攻撃経路であり、連邦政府のシステムに重大なリスクをもたらします」と同サイバーセキュリティ機関は指摘しています。
「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」
この拘束力のある運用指令は米国連邦機関にのみ適用されますが、CISAは民間セクターを含むすべてのセキュリティチームに対しても、CVE-2026-50751のパッチを適用し、組織のネットワークをできるだけ早く保護するよう呼びかけています。
2年前にも、CISAはCheck PointのQuantum Security Gatewaysに存在する別の脆弱性(CVE-2024-24919)がランサムウェアグループによって活発に悪用されていると指定し、NailaoLockerランサムウェア攻撃との関連を指摘したOrange Cyberdefense CERTのレポートを裏付けました。
攻撃者より先に全レイヤーをテスト
セキュリティチームが記録できる攻撃の成功は54%に過ぎず、アラートを発するのはわずか14%です。残りの攻撃は環境内を見えない形で進行しています。
PicusのホワイトペーパーではBreach and Attack Simulation(BAS)によってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
