チェック・ポイントのゼロデイ・パラドックス：自社を守れなかったセキュリティ企業

2025年の攻撃件数47％増を記録した企業が、いかにして自らの調査の犠牲となったのか――そしてCVE-2024-24919がファイアウォールベンダーの構造的な失敗をどう露呈したのか

エグゼクティブサマリー

皮肉きわまりない事態だが、業界で最も包括的な脅威インテリジェンスレポートを発行しているサイバーセキュリティベンダーCheck Point Softwareは、2024年5月に重大なゼロデイ脆弱性（CVE-2024-24919）を抱え、インターネットに公開された14,000台のQuantum Security Gatewayが情報漏えい攻撃にさらされる事態となった。

Marquisランサムウェア侵害：金融サービスにおいてサードパーティベンダーが最弱のリンクになるとき

タイミングは最悪だった。Check Point自身の2025年脅威インテリジェンスによれば、次のような状況が明らかになっている：

組織あたりの週次サイバー攻撃が47％増加（2025年第1四半期 vs 2024年第1四半期）
世界的にランサムウェア攻撃が126％急増
2025年第1四半期だけで2,289件のランサムウェアインシデント
組織あたり週平均1,925件の攻撃
2025年11月：ランサムウェア攻撃727件（前年比22％増）

しかし、Check Pointのリサーチャーがこの前例のない脅威のエスカレーションを記録しているまさにそのとき、同社自身の製品が攻撃の標的となっていた。CVE-2024-24919は公開からわずか3日後にCISAの既知悪用脆弱性（KEV）カタログに追加され、PoC（概念実証）公開から24時間以内に悪用が始まった。

ここに根本的なパラドックスが生じる。自社製品すら守れないファイアウォールベンダーに、私たちのインフラ防御を任せてよいのか？

この問いはこれまで以上に重要だ。というのも、Check Pointの2025年の調査は、私たちが次のような状況に直面していることを示しているからだ：

教育セクター：週4,656件の攻撃（最も標的にされている）
ヘルスケア：前年比47％増（2番目に標的）
Cl0pランサムウェア：数カ月にわたるキャンペーンでOracle EBSゼロデイを悪用
Akiraランサムウェア：Ciscoからマルチベンダー標的へと軸足を移動
GenAIリスク：35件に1件のプロンプトが機密データを漏えいし、87％の組織に影響

これはCheck Pointにとっての警鐘の物語であり、シリーズ4社目のファイアウォールベンダーの事例が示すように、脅威を記録して利益を得ているベンダーであっても、その脅威から免れることはできないという事実を物語っている。

CVE-2024-24919：Check Pointを打ちのめしたゼロデイ

発見と公開のタイムライン

2024年5月24日：Check Pointは、2FAが利用できない古いローカルアカウントに対して、VPNクライアント経由で不審なログイン試行が行われていることを発見。直ちにインシデントレスポンスチームが編成された。

2024年5月27日：Check PointはCVE-2024-24919に関するセキュリティアドバイザリを公開し、自社製品に対する実際の悪用が発生していることを認めた。

2024年5月30日：

watchTowr Labsが、動作するPoCエクスプロイト付きの技術分析を公開
CISAがCVE-2024-24919をKEVカタログに追加――公開からわずか3日という、史上最速クラスの追加
連邦機関に対し、2024年6月20日までの修正期限が設定
最初の大規模な悪用試行が開始

2024年5月31日 9:40am UTC：GreyNoiseセンサーが、watchTowrの公開PoCとまったく同一のコード（../のパストラバーサル回数まで同じ）を用いた広範な悪用を検知。

2024年6月上旬：「Ghost Clan Malaysia」と名乗るハクティビストグループが、Check Point Security Gatewayの脆弱なIPアドレスをアンダーグラウンドフォーラムで共有し、悪用を加速させた。

技術的な脆弱性

CVE-2024-24919（CVSS 8.6 – 高）

タイプ：パストラバーサルによる情報漏えい
影響：影響を受けるデバイス上の任意ファイル読み取り
認証要否：不要
ユーザー操作：不要
攻撃の複雑さ：低

エクスプロイト例：

POST /clients/MyCRL HTTP/1.1
Host: <vulnerable_gateway>
Content-Length: 39
aCSHELL/../../../../../../../etc/passwd

この極めて単純な1行のcurlリクエストで、次のような情報が取得可能だった：

/etc/passwd – すべてのローカルユーザーアカウント
/etc/shadow – パスワードハッシュ
/etc/ssh/ – SSH秘密鍵
Active Directory接続用の認証情報
ntds.ditデータベース – ADユーザー／グループ／パスワードハッシュの完全ダンプ

Watchtowr Labsは、パッチを2日以内でリバースエンジニアリングし、Check Pointが脆弱性の深刻度を大きく過小評価していたことを突き止めた。ベンダーは当初、「特定の情報」を読み取れると説明していたが、実際にはシステム上の任意ファイルが読み取れる状態だった。

影響を受けた製品（14,000台超が露出）

脆弱な製品：

CloudGuard Network
Quantum Maestro
Quantum Scalable Chassis
Quantum Security Gateways
Quantum Spark Appliances

影響を受けるバージョン：

R80.20.x
R80.20SP（EOL）
R80.40（EOL）
R81
R81.10
R81.10.x
R81.20

悪用に必要な構成条件：

インターネットに接続されたゲートウェイ
IPSec VPN、リモートアクセスVPN、またはMobile Access Software Bladeが有効

Shodan検索結果：インターネットに公開された約32,000のCheck Pointインスタンスのうち、バージョン分析に基づき約14,000台が脆弱と確認。

実際の悪用事例

Mnemonic Securityは、攻撃者が次のような行動を取っていることを観測した：

CVE-2024-24919を悪用してローカルアカウントを列挙
すべてのアカウントのパスワードハッシュを抽出
特にActive Directory接続に使用されるアカウントを標的化
初回侵入から2〜3時間以内に被害ネットワークからntds.ditをダンプ
侵害された認証情報を用いてラテラルムーブメントを実行
Visual Studio Codeを悪用し、VPN経由で悪性トラフィックをトンネリング

攻撃パターン：

初期侵入（CVE-2024-24919）
    ↓
/etc/shadow のハッシュ抽出
    ↓
弱いパスワードのクラッキング／既知のデフォルトの利用
    ↓
侵害された認証情報でVPN認証
    ↓
Active Directory（ntds.dit）のダンプ
    ↓
ドメイン全体へのラテラルムーブメント
    ↓
永続化の確立／ランサムウェアの展開

GreyNoise分析：悪用タイムライン

GreyNoiseのハニーポットネットワークは、興味深い悪用パターンを捉えた：

2024年5月30日 17:00 UTC：台湾IP（125.229.221.55）から最初の悪用試行を検知

ペイロード：/clients/MyCRL/../../../..//etc/passwd
このペイロードは実際には動作しない――テスト前にボタンを押した形跡
同IPはその日の早い時間帯にHNAP対応デバイスのスキャンも実施

2024年5月31日 9:40am UTC：ニューヨークIP（45.88.91.78）から最初の成功した悪用を検知

ペイロード：aCSHELL/../../../../../../../etc/shadow
watchTowrが公開したPoCと不自然なほど同一
このIPは以前からCisco ASAアプライアンスのスキャンを行っていた

悪用は急速に拡大：

数時間以内に複数のスキャンキャンペーンが出現
さまざまなパストラバーサルのバリエーションが試行
どのファイルが狙われているかなど、攻撃者の意図の特定は困難
公開PoCから48時間以内に悪用は広範囲に拡大

GreyNoiseの結論：

「残念ながら、アドバイザリ公開前の0デイ悪用は直接観測できませんでした。おそらく攻撃は標的型で、当社のセンサーネットワークには届かなかったのでしょう……しかし、PoCが公開され、悪用が急速に拡大している現状を踏まえると、Check Point製品はできるだけ早くパッチを適用することを推奨します！」

なぜ重要か：過小評価という問題

Check Pointの初期説明（5月27日）：

「この脆弱性により、インターネットに接続されたゲートウェイ上の特定の情報が読み取られる可能性があります……」

Watchtowr Labsの分析（5月30日）：

Check Pointは深刻度を大きく過小評価していました。これは実際には任意ファイル読み取りにつながるパストラバーサルであり、攻撃者はアプライアンス上のあらゆるファイルにアクセスできます。「特定の情報」などというレベルではありません。

要するに：Check Pointは、悪用のスピードを抑える目的で、脆弱性の深刻度に対する世間の認識を意図的に低く見せようとした可能性が高い。しかし研究者が実際の能力を公開したことで、結果的に武器化を加速させる形となった。

2025年3月：Check Pointが再び侵害 ― CoreInjectionインシデント

CVE-2024-24919の教訓が生かされたと思われた矢先、Check Pointは再び侵害された――より正確には、2024年12月の侵害が2025年3月に脅威アクター「CoreInjection」によって暴露された。

2025年3月30日の暴露

CoreInjectionはBreachForums上で、Check Pointのデータを5ビットコイン（約41万ドル）で販売すると投稿した。

主張されたデータ内容：

社内ネットワークマップおよびアーキテクチャ図
ユーザー認証情報（ハッシュ済みおよび平文パスワード）
従業員の連絡先情報
機密プロジェクト文書
独自のソースコードおよびバイナリ
121,120件のアカウント（うち18,864件が有料顧客）
2FAリセットが可能な管理ポータルへのアクセス

提示されたスクリーンショット：

Check Point Infinity Portalの管理ダッシュボード
「Admin」ロールを持つAPIキー
アカウント編集および二要素認証リセット機能
2031年まで続くクライアントデータおよび契約情報

Check Pointの回答（2025年3月31日）：

「これは古くから知られている、非常に限定的な事案であり、影響を受けたのはごく少数の組織と、顧客システムや本番環境、セキュリティアーキテクチャを含まないポータルのみです。この件は数カ月前にすでに対処済みです。」

タイムラインをめぐる論争

Check Pointの主張：

インシデント発生は2024年12月
影響を受けたのは3組織のみ
「限定的なアクセス」であり、侵入口は侵害されたポータル認証情報
顧客システム、本番環境、セキュリティアーキテクチャには影響なし
すでに調査・封じ込め済み

セキュリティ研究者側の疑問：

スクリーンショットには121,120件のアカウントが表示されており、「3組織」とはかけ離れている
アカウント編集や2FAリセットなど、管理者レベルの権限が確認できる
上場企業であれば必要となるはずの2024年12月時点のSEC報告が存在しない
侵入手口は「認証情報の侵害」とされるが、その経緯は説明されていない
CoreInjectionは信頼性の高いリーク実績を持つ

Alon Gal（Hudson Rock CTO）：

「正直なところ、多くの疑問が残りますが、侵害の範囲は当初考えられていたよりも狭い可能性があります……とはいえ、2024年12月時点の公開レポートやSECへの届出に一切言及がないのは、上場企業としての透明性に疑問を投げかけます。」

CoreInjectionの実績

CoreInjectionにとって、これは初めての「興行」ではない。彼らは2025年3月にBreachForumsへ登場して以来、イスラエルのインフラを標的とする5件の出品を行っている：

3月15日：米国の産業機械企業（10万ドル）
3月16日：イスラエルの国際自動車企業（5万ドル） – 「イスラエルのネットワークインフラを完全掌握」
3月17日：Clal Insurance – イスラエル大手保険会社の40万件超の顧客データ
3月18日：イスラエルのデジタルスクリーン企業（CCTV／ディスプレイ）
3月20日：イスラエルの電気製品企業（3万ドル）
3月30日：Check Point Software

パターン：イスラエルの重要インフラを狙った集中的なキャンペーンであり、実際に売買実績も確認されている。

二重の皮肉

最初の皮肉（CVE-2024-24919）：自社製品が悪用されている最中に、脅威を記録・分析しているセキュリティベンダー

二つ目の皮肉（2025年3月）：最初の侵害について「数カ月前に対処済み」と主張している最中に、再び侵害が暴露されるセキュリティベンダー

パラドックスはさらに深まる：

2024年5月：CVE-2024-24919が悪用（公開）
2024年12月：ポータルが認証情報経由で侵害（非公開）
2025年3月：CoreInjectionが12月の侵害を公表
その間ずっと：Check Pointは他組織のセキュリティ失敗を分析するリサーチを公開

パラドックス：被害者であり研究者でもあるCheck Point

Check Pointの2025年脅威インテリジェンス：防御側の視点

Check PointがCVE-2024-24919と12月のポータル侵害に苦しんでいた一方で、同社のリサーチチームは史上最悪レベルの脅威状況を記録していた。

2025年第1四半期グローバル攻撃レポート：

組織あたり週平均1,925件の攻撃（前年比47％増）
世界で2,289件のランサムウェアインシデント（前年比126％増）
リークサイト上の新規ランサムウェア被害者2,063件（2024年第1四半期比102％増）

地域別内訳：

ラテンアメリカ：前年比108％増（週2,640件の攻撃） – 最も急激な増加
アフリカ：週3,286件（絶対数で最多、前年比39％増）
APAC：週2,934件（前年比38％増）
欧州：週1,612件（前年比57％増）
北米：週1,357件（前年比40％増）

業種別標的状況（2025年第1四半期）：

教育：週4,484件の攻撃（前年比7％増） – 5年連続で最も標的に
政府機関：週2,716件（前年比2％増）
通信：週2,664件（前年比94％増 ― 割合として最大の伸び）
協会／非営利団体：週2,550件（前年比57％増）

2025年11月アップデート：

週平均2,003件の攻撃（10月比3％増、2024年11月比4％増）
ランサムウェアインシデント727件（前年比22％増）
北米：全ランサムウェア被害者の55％
米国：世界のランサムウェア事案の52％を占める

皮肉：リサーチ vs 現実

Check Pointが記録していること：

「2024年に悪用された脆弱性の96％は、その年より前に公開されていた」 ― パッチ管理の重要性を強調
「エッジデバイスの悪用：侵害されたルーター、VPN、その他のエッジデバイスが主要な侵入口となった」
「Raptor Trainのような高度なボットネットに支配されたデバイスは20万台以上」

Check Pointが実際に経験したこと：

自社のVPNデバイスが、まさに「悪用されたエッジインフラ」となった
CVE-2024-24919は公開前から悪用されていた（2024年5月の標的型攻撃）
自社製デバイス14,000台以上が、インターネットに露出したまま脆弱状態で放置
攻撃者は、Check Pointゲートウェイを侵入口として利用し、同社のリサーチが描写した通りの攻撃を実行

認知的不協和：Check Pointの脅威インテリジェンスは、エッジデバイスが攻撃ベクターであるという問題を正確に描写している一方で、同時に自社のエッジデバイスがその攻撃ベクターとなっている。

2025年のランサムウェア急増：Check Pointのデータ

2025年第1四半期：記録的な四半期

Check Pointの調査は、前例のないランサムウェア活動を明らかにしている。

ボリューム：

世界で2,289件のランサムウェアインシデント（前年比126％増）
リークサイト上の被害者2,063件（GuidePoint GRITデータ）
公表されたインシデント278件（BlackFogデータ ― 45％増）
2月だけで被害者886件（Cybleによるピーク月）
平均1日あたり22.9件の新規被害者（GRIT試算）

地理的分布：

北米：全インシデントの62％（GuidePointによれば、そのうち米国が58％）
欧州：18％
英国：4％
カナダ：3％

主要ランサムウェアグループ（Check Point 2025年11月データ）：

Cl0p（再興）：

数カ月間比較的静かだったが、2025年8月にさかのぼるキャンペーンの被害者公開を開始
2つのOracle E-Business Suiteゼロデイを悪用：
- CVE-2025-61882（認証前RCE）
- もう1つの未公開Oracle EBS脆弱性
大規模なデータ窃取と恐喝オペレーション
高価値エンタープライズプラットフォームを標的
2019年以降の累計収益は5億ドル超と推定
大規模サプライチェーン攻撃でランサムウェア情勢を一変させた

Akira（持続的脅威）：

初出は2023年初頭
Windows、Linux、ESXiシステムを標的
2025年第2四半期の被害分布：
- ビジネスサービス：19％
- 工業製造：18％
2024年初頭にESXi向けRust製暗号化ツールを導入
中堅企業を狙った計画的な攻撃を継続
2024年、FBI IC3への報告でLockBitやRansomHubと並ぶ最多報告変種

RansomHub（妨害を受けたグループ）：

1年以上にわたりシーンを支配したが、2025年3〜4月にかけて失速
ライバルのDragonForceに乗っ取られたとの噂
妨害後、多数のアフィリエイトがQilinへ移行
Betrugerバックドア（認証情報ダンピングや権限昇格用のカスタムツール）を使用

Hellcat（新興勢力）：

インフォスティーラーマルウェアで盗まれたJira認証情報を悪用
主な被害者：Asseco Poland、HighWire Press、Racami、LeoVegas Group、Jaguar Land Rover
JLR攻撃は19億ポンドの損失 ― 英国史上最も高額なサイバー攻撃

ランサムウェア経済：Check Pointの分析

支払いパターン：

2025年のランサム平均支払額：100万ドル
被害者の51％が身代金を支払った
総支払い件数は約2,268件、中央値100万ドルとすると少なくとも23億ドル
個別の要求額は20万ドル〜1,000万ドル超まで幅広い

Cybersecurity Venturesの予測：

2031年までに：2秒に1回のペースでランサムウェア攻撃
被害総額は年間2,650億ドルに達する可能性

ビジネスモデルとしての成熟：Check Pointの研究者は次のように指摘している。「ランサムウェアはビジネスモデルへと変貌した」。その特徴は：

Ransomware-as-a-Service（RaaS）プラットフォーム
侵入経路を販売するInitial Access Broker（IAB）
特化ツールの売買市場
Telegramやダークウェブで流通するパッケージ化されたエクスプロイト
高度に組織化されたアフィリエイトネットワーク

GenAIリスク：Check Pointの最新発見

2025年11月：AIによるデータ漏えい危機

Check Pointの2025年11月の調査は、エンタープライズにおけるAI導入と直結した新たな攻撃ベクターを明らかにした。

主な統計：

35件に1件のGenAIプロンプトが、高リスクの機密データ漏えいを引き起こす可能性
GenAIを継続的に利用している組織の87％が影響を受けている
プロンプトの22％に機密情報が含まれている可能性：
- 社内コミュニケーション
- 企業データ
- 独自コード
- 個人識別情報

組織あたりの平均ツール数：月あたり11種類のGenAIツール

その多くが未管理
正式なセキュリティガバナンスの外側で稼働
エンタープライズレベルの制御やDLPが存在しない

リスクカテゴリ：

偶発的な漏えい ― 機密データを含むプロンプト
悪意ある侵入 ― 侵害されたAIツールを経由
AI駆動型サイバー攻撃 ― プロンプト経由で漏えいした企業データを悪用
ランサムウェア ― AIインフラ自体を標的

サプライチェーン問題：Check Pointが引用したQBE Insuranceの調査によれば：

サイバー攻撃を経験した英国企業の56％が、その原因をサードパーティサプライヤーに関連すると回答
ここにはAIプロバイダーやGenAIツールも含まれる
複数の未管理AIツールを利用する組織は、巨大な攻撃面を生み出している

AI特有の悪用手口：

AIが幻覚したパッケージ：GitHub CopilotやChatGPTが、実在しないソフトウェアパッケージ名を幻覚することがある
攻撃者は、その幻覚された名前と一致する悪性パッケージを作成
開発者はそれを知らずにダウンロードし、コードに組み込む
AI支援開発を経由したサプライチェーン侵害

ファイアウォールベンダー4社：構造的な失敗

私たちはすでに、実際に悪用を受けた4大ファイアウォールベンダーを分析してきた。

比較分析

SonicWall：

CISA KEVに14件のCVE
AkiraおよびFogランサムウェアによる悪用
Marquis侵害（被害者788,000人）
パッチ適用後も残る永続化の問題

Fortinet：

CISA KEVに20件のCVE
QilinおよびMora_001ランサムウェアによる標的化
ヘルスケアへの壊滅的影響（2024年に2億5,900万人の米国人が影響）
48,000台超の未パッチデバイスが残存

Cisco：

複数のCVEがCISA KEV入り
Akiraによる2億4,400万ドル規模のキャンペーン（主要標的）
国家レベルマルウェアArcaneDoor
米議会予算局（CBO）の侵害
KNP Logisticsの壊滅（158年の歴史を持つ企業が崩壊）

Check Point：

CVE-2024-24919がCISA KEV入り
PoC公開から24時間以内にゼロデイ悪用
14,000台超のデバイスが露出
Active Directory認証情報の収集に利用
脆弱性の深刻度を過小評価し、その結果悪用を加速

共通点

他者を守る立場でありながら、自ら被害者となった
- Check Pointの皮肉：脅威を記録しながら、自社は脆弱
- Cisco：セキュリティ製品を販売しながら、自社が侵害
- Fortinet／SonicWall：インフラを守るはずが、自らが攻撃経路に
全社がゼロデイ悪用の歴史を持つ
- Check Point：CVE-2024-24919は公開前から悪用
- Cisco：ArcaneDoorキャンペーン（UAT4356／Storm-1849）
- Fortinet：CVE-2024-55591、CVE-2025-64446
- SonicWall：CVE-2024-40766
公開後の悪用が極めて迅速
- Check Point：PoC公開から24時間以内に武器化
- Fortinet：サイレントパッチ後、公開まで17日間の空白
- Cisco：連邦機関がパッチ適用に追いつけない
- SonicWall：パッチ公開から数カ月後も48,933台が脆弱
インターネットに露出したデバイスが膨大
- Check Point：32,000インスタンス中、約14,000が脆弱
- Fortinet：48,000台超の未パッチASA／FTD
- Cisco：48,000台超の未パッチASA／FTD
- SonicWall：SMBを中心に数万台規模
同じランサムウェアグループに狙われている
- Akira：Cisco（主標的）、SonicWall、その他へ拡大
- Qilin：Fortinet、特にヘルスケアを標的
- Cl0p：Oracle EBSを介したクロスベンダー攻撃
- その他多数：脆弱なベンダーなら誰でも狙う機会主義的攻撃

根本的な問題

ファイアウォールベンダーは、自ら提供できていない「セキュリティ」を売って利益を上げている。

Check Pointのケースは、その典型例だ：

収益モデル：脅威インテリジェンスとセキュリティ製品の販売
マーケティング：サイバーセキュリティ分野の思想的リーダーとしてのポジショニング
現実：ゼロデイで自社製品が侵害され、14,000台のデバイスが露出
リサーチ：他社の失敗を記録しながら、自社も同じ失敗を経験

信頼の方程式：

Vendor Trust = (Security Promises) / (Actual Security Delivered)
4社すべてに共通する現状：Trust < 1.0

Check Pointが「悪用の96％は古い脆弱性を狙っている。すぐにパッチを」と訴える一方で、自社デバイスがパッチ未適用のまま脆弱であり続けたとしたら、なぜ彼らの言葉を信じるべきなのか？

組織が今すぐ取るべき行動

即時対応（今週中）

1. Check Pointデバイスのアセスメント

すべてのCheck Point Quantum Security Gatewayを特定
CVE-2024-24919対象バージョン（R80.20.x〜R81.20）かを確認
リモートアクセスVPNまたはMobile Accessが有効か確認
パッチ適用前にインターネットへ露出していた場合は、侵害前提で考える

2. 認証情報のローテーション

Check Pointデバイス上のすべてのローカルアカウントのパスワードを変更
Active Directoryサービスアカウントの認証情報を変更
SSH鍵を再生成
VPN証明書を失効させ、再発行

3. フォレンジック分析

ログから不審な/clients/MyCRLへのPOSTリクエストを検索
2024年5〜6月の期間における不正なファイルアクセスを調査
不正なローカルアカウント作成の有無を確認
VPNアクセスログから異常な認証を洗い出す

4. Active Directory侵害評価

デバイスが侵害されていた場合、ntds.ditが流出した可能性を前提にする
ドメイン全体のパスワードリセットを実施
特権アカウントのアクティビティを精査
Golden Ticket／Silver Ticket攻撃の痕跡を確認
Domain Adminグループのメンバー変更履歴を監査

短期戦略（今月中）

5. ベンダー多様化の評価 あなたの環境がCheck Point単一で構成されている場合：

マルチベンダー戦略を検討
重要システムを別ベンダーの背後にセグメント化することを検討
どの「バスケット」であれ、すべて穴だらけである以上、「卵を一つのカゴに盛らない」こと

Check Pointに加えCisco／Fortinet／SonicWallを併用している場合：

複数の悪用済みベンダーにまたがるリスクを抱えている
当サイトのCisco、Fortinet、SonicWall分析を参照
ベンダー多様化が本当にリスク低減になっているのか、それとも攻撃面を広げているだけなのかを評価

6. ゼロトラストアーキテクチャ 周辺ファイアウォールはいずれ侵害されることを前提に：

Zero Trust Network Access（ZTNA）の導入
ネットワークゾーン間の暗黙的信頼を排除
アプリケーションレイヤでのマイクロセグメンテーション
すべての接続を継続的に検証

7. AI利用ガバナンス Check PointのGenAI調査を踏まえ：

組織内で利用されているすべてのGenAIツールを棚卸し（おそらく平均11種類）
AIプロンプト向けのDLP制御を導入
企業が承認したAIツールのみ利用を許可
プロンプトにおける機密データの扱いについて従業員を教育
AI API経由のデータ流出を監視

8. 脅威インテリジェンスの統合 Check Pointのリサーチは活用し、製品には依存しない：

同社の脅威レポートは実際に有用
レポートを購読し、ランサムウェア動向やGenAIリスクなどの知見を取り入れる
ただし、防御の要として同社のファイアウォールに依存しないこと

長期アーキテクチャ（今四半期中）

9. 新しい現実を受け入れる

旧モデル：ファイアウォールが境界を守る → 内部は信頼
新現実：ファイアウォールこそが攻撃面 → 何も信頼しない

アーキテクチャ上の含意：

重要システムはアプリケーションレイヤのセキュリティ（WAF、APIゲートウェイ）の背後に配置
すべてのエンドポイントにEDR／XDRを展開（ネットワークセキュリティに依存しない）
行動分析機能を備えたSIEMを導入
ラテラルムーブメント検知のため、ディセプション技術（ハニーポット）を活用

10. 取締役会レベルでのリスク議論 次の不都合な事実を提示する：

4大ファイアウォールベンダーすべてがCISA KEV脆弱性を抱えている
Check Pointは自らが悪用されている最中にリサーチを公開していた
攻撃件数47％増は、現行防御が機能していないことを示す
ランサムウェア126％増は、攻撃者側が優位に立っていることを意味する
2025年だけで少なくとも23億ドルの身代金が支払われた

要請事項：

ゼロトラスト変革のための予算
必要に応じたベンダー多様化のための資金
AIガバナンスプログラムのためのリソース
脅威インテリジェンスを実際に監視・活用するための人員

不都合な問い

1. Check Pointの研究者が「悪用の96％は古い脆弱性を狙っている」と指摘しているにもかかわらず、なぜ自社デバイスはCVE-2024-24919に対して、実際に悪用されるまで脆弱なままだったのか？

2. セキュリティベンダーが自社のゼロデイについて、その深刻度を「特定の情報」と表現して過小評価していたにもかかわらず、実際には「任意ファイル」読み取りが可能だったとしたら、他ベンダーの脆弱性に関する脅威インテリジェンスをどう信頼できるのか？

3. watchTowr LabsがCheck Pointのパッチを2日以内にリバースエンジニアリングできたとすれば、公開前にこの脆弱性を悪用していた攻撃者の高度さはどれほどだったのか？

4. Check Pointは2025年第1四半期に2,289件のランサムウェアインシデントを記録しているが、そのうち何件が侵害されたCheck Pointゲートウェイを経由していたのか？

5. Check Pointが「エッジデバイスが主要な侵入口となっている」とするリサーチを公開している一方で、自社のエッジデバイスが実際に悪用されている状況は、これはリサーチなのか、それとも告白なのか？

6. 35件に1件のGenAIプロンプトが、87％の組織で機密データを漏えいさせているとCheck Pointが報告しているが、同社自身はその推奨事項を実践しているのか？

7. 「Ghost Clan Malaysia」ハクティビストグループが脆弱なCheck Point IPを公開したが、何社がベンダーからではなく、ハクティビストの情報で自社の脆弱性に気付いたのか？

8. Check PointはCVE-2024-24919について、CISAに2024年6月20日までの修正期限を与えたが、悪用は2024年5月30日に始まっていた――この21日間、組織は一体どうすればよかったのか？

9. Check Pointが脅威インテリジェンスを販売する一方で、自社製品が脅威ベクターとなっている場合、これは利益相反ではないのか？

10. 4大ファイアウォールベンダー（Cisco、Fortinet、SonicWall、Check Point）がすべてCISA KEVに登録された悪用済み脆弱性を抱えている現状で、ファイアウォール中心のセキュリティモデルが破綻していることを、いつ認めるのか？

これらは修辞的な問いではない。Check Pointゲートウェイが関わる侵害が発生した後、取締役会、監査人、保険会社があなたに投げかける質問である。

ファイアウォールベンダー4部作からの教訓

4大ファイアウォールベンダーの分析を終えた今、パターンは否定しようがない。

ファイアウォールのパラドックス

ベンダーは、自ら維持できない保護を販売している：

Check Point：自ら脆弱でありながら脅威を記録
Cisco：ArcaneDoorが潜伏する中でネットワークを保護
Fortinet：20件のKEVを抱えながらヘルスケアを防御
SonicWall：Akiraに数百万ドルを抜かれながらSMBを保護

数字が示す矛盾：

4社合計のCISA KEV CVE数：40件超
インターネットに露出した脆弱デバイス合計：150,000台超
ランサムウェアとの関連：Akira、Qilin、Cl0p、Fog、Mora_001
4社共通のベンダーレスポンス：「すぐにパッチを」（悪用後に）

リサーチのパラドックス

被害者であり研究者でもあるCheck Pointの立場は、根本的な矛盾を浮き彫りにする。

研究者として：

包括的な脅威インテリジェンスを公開
攻撃件数47％増、ランサムウェア126％増を記録
GenAIリスクやエッジデバイスの悪用を特定
パッチ適用の遅れを組織の失敗として警告

被害者として：

自社製品がゼロデイで悪用
14,000台のデバイスがインターネットに露出
脆弱性の深刻度を過小評価
顧客のActive Directory認証情報が収集される

パラドックス：組織は、Check Pointデバイスの侵害を通じて発生した可能性のある攻撃についての脅威インテリジェンスに対して、Check Pointに対価を支払っている。

これは、放火もする消防士を雇うようなものだ。

経済的インセンティブの問題

ベンダーの収益モデル：

ファイアウォール／セキュリティアプライアンスの販売
年間サポート／メンテナンス契約
脅威インテリジェンスサブスクリプション
インシデントレスポンスサービス
復旧・再設計コンサルティング

利害の衝突：

ベンダーは脅威インテリジェンスから利益を得る
ベンダーは侵害後のインシデントレスポンスから利益を得る
ベンダーは脆弱性修正のためのアップグレードから利益を得る
ベンダーは、攻撃を事前に完全に防いでも追加の利益は得られない

要するに：脅威を「防ぐ」より、「記録する」ほうが儲かる構造になっている。

なぜ今、これがかつてなく重要なのか

Check Pointの2025年データは、私たちが分岐点にいることを示している。

攻撃ボリューム：47％増（2025年第1四半期 vs 2024年第1四半期）

防御側の改善ペースが追いついていない

ランサムウェア経済：126％増、23億ドル超の支払い

攻撃者は防御側よりも速くスケールしている

AI駆動リスク：35件に1件のプロンプトがデータ漏えい

新たな攻撃面が、セキュリティコントロールよりも速く出現している

ベンダーの失敗：4大ファイアウォールベンダーすべてが侵害

ネットワークセキュリティの土台が崩れつつある

2031年の予測：2秒に1回の攻撃、年間2,650億ドルの被害

現在の軌道は明らかに持続不可能

結論：皇帝にはファイアウォールがない

Check PointのCVE-2024-24919ゼロデイは、単なる1つの脆弱性ではない。それはファイアウォール中心のセキュリティモデルが完全に破綻していることの象徴である。

業界で最も包括的な脅威インテリジェンスを発行している企業が、自社製品すら守れない。PoC公開から24時間以内に悪用が始まり、14,000台のエンタープライズゲートウェイが脆弱なコードを実行したままインターネットに晒され、攻撃者は「安全なはず」のVPNアプライアンスを通じてActive Directory認証情報を収集している――皇帝には服がなく、ファイアウォールにはセキュリティがないのだ。

Check Pointのリサーチは正しい。私たちは組織あたり週1,925件の攻撃、2025年第1四半期だけで2,289件のランサムウェアインシデント、23億ドルの身代金支払い、そして87％の組織が未管理のGenAIツールを通じてデータを漏えいしているという現実に直面している。

しかし、その解決策が、自らが攻撃ベクターとなっているベンダーのファイアウォールをさらに購入することであってはならない。

これから進むべき道：

境界はすでに侵害されていると仮定する（実際そうである可能性が高い）
ゼロトラストを全面的に導入する（暗黙の信頼を排除）
セキュリティアーキテクチャを多様化する（単一ベンダーへの依存をやめる）
監視・検知を徹底する（予防が破られた後を前提にする）
新しい現実を受け入れる（ファイアウォールは防御ではなく攻撃面である）

いまだにCheck Point Quantum Security Gatewayを運用している組織にとって、CVE-2024-24919は目覚まし時計であるべきだ。脅威情勢を記録している企業が自社製品を守れないのなら、なぜあなたの環境を守れると信じられるのか？

ファイアウォールベンダーの時代は終わりつつある。自社の境界すら守れないベンダーの境界防御に依存しないセキュリティアーキテクチャを構築する時が来ている。

この皮肉は、本来なら笑い話で済む。しかし、その代償はあまりにも大きい。

ファイアウォールベンダー脆弱性シリーズ：

包囲されるCisco：Akiraの2億4,400万ドルキャンペーン – Ciscoを標的とするAkiraランサムウェア、ArcaneDoor国家レベルマルウェア
炎上するFortinet：ヘルスケアへの壊滅的影響 – CISA KEVに20件のCVE、病院を狙うQilin
Marquisランサムウェア：SonicWallの脆弱性の歴史 – CISA KEVに14件のCVE、被害者78万8,000人
緊急アラート：Fortinet、Cisco、VMware、WatchGuardシステムの脆弱性をサイバー犯罪者が積極的に悪用中

2025年脅威情勢分析：

グローバルサイバーセキュリティインシデントレビュー：2025年1〜4月 – Check Pointによる攻撃47％増のデータ
2025年後半のRaaSエコシステム：LockBit崩壊からQilin、Akira、DragonForce台頭まで – Qilin、Akira、Cl0p分析
ランサムウェア革命：攻撃経済が2026年に向けた脅威情勢をどう変えているか
ランサムウェア猛攻：2025年10月3日に複数グループが新たな被害者を公開

ケーススタディ：

KNP Logisticsランサムウェア攻撃 – 158年の歴史を持つ企業が、1つの弱いVPNパスワードで崩壊
米議会予算局（CBO）侵害 – 政府機関ですらファイアウォールを適切にパッチできない現実

外部リソース：

Check Pointアドバイザリ：CVE-2024-24919
CISA KEVエントリ：CVE-2024-24919
Watchtowr Labs技術分析：CVE-2024-24919
GreyNoiseブログ：What’s Going On With Check Point?
Check Point 2025 Security Report
Check Point Q1 2025 Global Cyber Attack Report

本分析は2025年12月時点の情報に基づく。CISAアドバイザリ、Check Point脅威インテリジェンス、セキュリティ研究者の分析、および悪用タイムラインデータを参照している。組織は、復旧戦略やアーキテクチャ再設計について、必ず専門のセキュリティプロフェッショナルに相談すること。

翻訳元: https://breached.company/check-points-zero-day-paradox-the-security-company-that-couldnt-secure-itself/