Check Point Software Technologiesは2026年6月8日、Remote Access VPNおよびMobile Accessデプロイメントに存在する認証バイパス脆弱性 CVE-2026-50751(CVSS 9.3、Critical、Check Point(CNA)付与値、NVDは本稿確認時点で未評価)が実環境で悪用されていることを公式アドバイザリで発表し、ホットフィックスを公開しました。攻撃者は非推奨のIKEv1鍵交換プロトコルの証明書検証ロジックの欠陥を悪用することで、有効なユーザーパスワードなしでVPNセッションを確立できます。悪用は2026年5月7日から観測されており、6月初旬に増加。Check Pointは少なくとも1件のインシデントを Qilinランサムウェアアフィリエイトに関連付け(中程度の確度、medium confidence)、Rapid7は独自に少なくとも1件を高い確度(high confidence)で CVE-2026-50751 に紐付けています。
米国CISAは同日、本脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、Federal Civilian Executive Branch(FCEB)機関に対し2026年6月11日までの修正を命じました(Binding Operational Directive 22-01(BOD 22-01)に基づく3日期限)。CISAは同日に CVE-2026-42271(BerriAI LiteLLMのコマンドインジェクション、CVSS v4.0 8.7 High)もKEVへ追加していますが、こちらのFCEB対応期限は2026年6月22日です。境界VPNとAIゲートウェイという異なる攻撃面が同時期に警告された点が注目されます。
脆弱性の概要と影響
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-50751(本件、主要脆弱性) |
| CVSS | 9.3(Critical、Check Point(CNA)付与値、NVDは本稿確認時点で未評価) |
| CWE | CWE-287(Improper Authentication) |
| Check Point Solution ID | sk185033(CVE-2026-50751)、sk185035(関連脆弱性 CVE-2026-50752) |
| 公開日 | 2026年6月8日 |
| 対象製品 | Mobile Access / SSL VPN、Remote Access VPN、Spark Firewall(中小企業・MSP向け) |
| 影響バージョン | R80.20.X(EOS)、R80.40(EOS)、R81(EOS)、R81.10(EOS)、R81.10.X、R81.20、R82、R82.00.X、R82.10 |
| 影響 | 有効なユーザーパスワードなしで Remote Access VPN セッションを確立可能。追加の認証後活動(post-authentication activity)が無ければ内部リソースアクセス・特権昇格はできないとCheck Pointは説明 |
| パッチ | 2026年6月8日にホットフィックス公開 |
| 関連脆弱性 | CVE-2026-50752(CVSS 7.4、Check Point(CNA)付与値)。非推奨IKEv1鍵交換における証明書検証の問題により、特定条件下でsite-to-site VPN通信に対するMitM攻撃を可能にする恐れ。現時点で実環境悪用なし。sk185035によれば、ホットフィックス供給対象はR81.20、R82、R82.10 |
| CISA KEV登録 | 2026年6月8日に追加。FCEB機関は2026年6月11日まで(3日期限、BOD 22-01)に修正が必要 |
| 発見・分析 | Check Point Research、関連脆弱性 CVE-2026-50752 は同社 Agentic AI コードセキュリティプラットフォーム「BLAST」が発見 |
技術メカニズム:IKEv1鍵交換の証明書検証ロジック欠陥
Check Point公式アドバイザリによれば、CVE-2026-50751 は非推奨の IKEv1 鍵交換プロトコルにおいて、Remote Access および Mobile Access コンポーネントが証明書を検証する際のロジックフロー欠陥に起因します。攻撃者はこのロジック欠陥を悪用することで、有効なユーザーパスワードを保持していない状態でも Remote Access VPN 接続を確立できます。
悪用には次の4条件がすべて同時に成立している必要があります。
- Remote Access VPN または Mobile Access が有効化されている
- IKEv1 が remote access 用途で有効化されている
- セキュリティゲートウェイが legacy remote access クライアントを受け入れる構成
- 接続にマシン証明書認証を必須としていない
公表されている条件では、4条件のうちいずれかが成立しなければ本脆弱性の悪用対象にはなりません。IKEv2 のみを使用する構成や、マシン証明書認証を必須にしている構成は影響を受けません。逆に、レガシークライアント互換のために IKEv1 を残している環境は、攻撃面が露出している状態となります。
影響範囲には Check Point の中小企業・MSP向け製品である Spark Firewall も含まれており、エンタープライズ環境だけでなく SMB セグメントにも影響が及びます。
Check Pointは「VPNセッション確立後、内部リソースへのアクセスや特権昇格には追加の認証後活動(post-authentication activity)が必要」と説明しています。つまり、本脆弱性単体で直ちに内部リソース侵害や権限昇格まで完了するわけではありません。ただし、VPNセッションの確立は攻撃チェーンの出発点となり得るため、境界防御上は重大なリスクとして扱う必要があります。
攻撃キャンペーン:5月7日開始、6月初旬に増加
Check Pointが2026年6月4日に疑わしい活動を察知して開始した調査により、次のタイムラインが判明しました。
| 日付 | 事象 |
|---|---|
| 2026年5月7日 | 観測された最初の CVE-2026-50751 悪用日 |
| 2026年6月初旬 | 悪用試行が増加 |
| 2026年6月4日 | Check Point Research が疑わしい活動を察知、調査開始 |
| 2026年6月8日 | Check Point公式アドバイザリ・ホットフィックス公開。CISA KEV追加(FCEB期限 6月11日) |
つまり脅威アクターは、Check Point が脆弱性を認識する約4週間前から実環境で悪用していたことになります。Check Point は被害組織数を「数十組織」と限定的に説明していますが、ホットフィックス公開からCISA KEV追加までが同日であり、FCEB期限が3日後に設定されたことから、CISA側は本脆弱性を高リスクと評価しています。
Qilinランサムウェアアフィリエイトとの関連
Check PointおよびRapid7の調査により、攻撃者プロファイルとして次の内容が公開されています。
- 帰属:Check Pointは少なくとも1件のインシデントを Qilin ランサムウェアアフィリエイトに中程度の確度(medium confidence)で関連付け。Rapid7は独自に少なくとも1件を高い確度(high confidence)で CVE-2026-50751 に紐付け
- 動機:財務動機型
- コミュニケーション:Tox プロトコル(財務動機型ランサムウェアアクターによく見られるパターン)
- 外部送信ツール:共有ファイルハッシュの1つから、オープンソースの Rclone を使用していると推測
- インフラ:専用 VPS(Kaupo Cloud HK、Shock Hosting、Vultr Holdings がホストするIP)。一部のケースで攻撃者VPSの geolocation と被害組織の地理が一致(例:台湾の組織を狙う攻撃で台湾内のVPSが使用)
- Post-exploitation:攻撃者制御サーバから ELF ペイロードのダウンロード試行を観測。Qilin Linux ランサムウェアバイナリと帰属重複あり
- 他ベンダーへの波及:Check Pointは、同じ脅威アクターのインフラが Palo Alto、Fortinet、F5 等の他ベンダー VPN 脆弱性も悪用していると評価
Check Point公式が公開した IoC には以下の9個のIPアドレスと2個のファイルハッシュが含まれます。
# Attacker IPs
45.77.149[.]152
209.182.225[.]136
38.60.157[.]139
162.33.177[.]101
45.76.26[.]42
144.208.127[.]155
38.54.88[.]201
38.54.107[.]167
66.42.99[.]200
# File hashes
52fda5c1b9704544f32ee98d9060e689
51d39aa39478beeac94f2d12f682ecce
Agentic AI による関連脆弱性発見:BLAST が CVE-2026-50752 を特定
本件で技術的に注目すべき点として、Check Point は CVE-2026-50751 の調査の過程で、自社の Agentic AI コードセキュリティプラットフォーム「BLAST」 を用いて影響VPNコンポーネントを拡張レビューし、その結果として関連脆弱性 CVE-2026-50752(CVSS 7.4)を特定しました。
CVE-2026-50752 は同じ IKEv1 鍵交換のコードパスにある証明書検証ロジックの問題で、特定の条件下で site-to-site VPN 通信に対する man-in-the-middle(MitM)攻撃を可能にする可能性があります。現時点で実環境での悪用は観測されていませんが、悪用される前にホットフィックスで修正されました。Check Point sk185035 の公式記述によれば、本脆弱性のホットフィックス供給対象バージョンは R81.20、R82、R82.10 に限定されています。
Check Pointは公式アドバイザリで「CVE-2026-50752 の特定は、脅威インテリジェンス、セキュリティ研究、AI支援コード分析の組み合わせが、悪用可能な形に武器化される前に脆弱性をプロアクティブに検出・修正することの重要性を示している」と述べています。これは当ブログで継続して扱ってきた「AI支援による脆弱性発見」の系譜(Theori、Calif、Codex、Dirty Frag、HTTP/2 Bomb等)に、ベンダー自社開発の Agentic AI プラットフォームによる発見という新しい事例が加わりました。
CISA KEV同時追加:VPNとAIゲートウェイの並行警告
CISAは2026年6月8日に CVE-2026-50751 をKEVカタログに追加し、FCEB機関に対して2026年6月11日までの対応を求めました。同じ日に CVE-2026-42271(BerriAI LiteLLMのコマンドインジェクション、CVSS v4.0 8.7 High)もKEVへ追加されていますが、こちらのFCEB対応期限は2026年6月22日です。いずれもBOD 22-01に基づく対応対象であり、境界VPNとAIゲートウェイという異なる攻撃面が同時期に警告された点が注目されます。
従来の境界VPNと新興のAIゲートウェイ、両方の攻撃面が同時に狙われている現状を反映した同時追加です。CISAの注意喚起は連邦機関向けですが、CISA自身が「全てのセキュリティチーム(民間部門を含む)に対しても、CVE-2026-50751 のパッチを可能な限り早く適用し、組織ネットワークを保護するよう促す」と明記しています。
当ブログでは前日の2026年6月7日付け記事で Cisco Catalyst SD-WAN Manager の未パッチゼロデイ CVE-2026-20245(Cisco-PSIRT発表、Mandiant発見)を扱いました。Check Point の本件は、エンタープライズネットワーク基盤製品に対するベンダーゼロデイ × アクティブ悪用 × CISA警告 という構図が連続して発生しています。
実務者が確認すべき項目
Check Point Remote Access VPN、Mobile Access、または Spark Firewall を運用している場合、以下の対処を推奨します。
- ホットフィックス即時適用:Check Point sk185033 および sk185035 で公開されたホットフィックスを即時適用。FCEB機関は6月11日が修正期限
- パッチ即時適用が困難な場合の緩和策(Check Point公式):(1) legacy remote access client のサポート削除、(2) Remote Access VPN Authentication の Global Properties を IKEv2 のみに設定、(3) Machine Certificate Authentication を mandatory に変更、(4) IPS を有効化しシグネチャをダウンロード
- 悪用観測期間に遡るログ監査:2026年5月7日まで遡り、Remote Access VPN・Mobile Access の認証ログ、ゲートウェイログを点検。Check Pointが公開した9個のIPアドレスと2個のファイルハッシュを使い、過去ログとの突合を実施
- 4条件の構成確認:自社環境が悪用要件4条件すべてに該当するかを点検。1条件でも非該当なら本脆弱性は悪用されないが、長期的にはレガシーIKEv1の段階的廃止を計画
- Qilinランサム関連IoC・TTPの監視:Tox プロトコル通信、Rclone を使った外部送信、ELF ペイロードのダウンロード試行、上記VPSプロバイダ(Kaupo Cloud HK、Shock Hosting、Vultr Holdings)からの不審な接続を監視
- 他ベンダー VPN の点検:同一脅威アクターは Palo Alto、Fortinet、F5 の VPN 脆弱性も悪用していると Check Point は評価。これらベンダーの該当製品を使っている場合、最新パッチ適用状況とログを並行点検
- 侵害が疑われる場合の対応:パッチ適用のみでは復旧として不十分な可能性がある。Check Point Support にケースをオープンし、環境に応じた個別ガイダンスを得る
本脆弱性は「非推奨プロトコル(IKEv1)を残しているレガシー構成」が攻撃面となった事例であり、製品自体の機能としては正当な互換性維持の結果です。攻撃面の縮小には、ベンダーの推奨する最新プロトコルへの移行と、レガシー機能の段階的廃止が必要となります。
一次情報・公式情報
- Security Advisory – Action Required – Active Exploitation of Check Point VPN Authentication Bypass (CVE-2026-50751) – Check Point Blog
- Check Point sk185033(CVE-2026-50751、Remote Access VPN/Mobile Access 認証バイパス)
- Check Point sk185035(CVE-2026-50752、site-to-site VPN MitM)
- CISA Known Exploited Vulnerabilities Catalog: CVE-2026-50751
- NVD: CVE-2026-50751
参考情報
- Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751) – Rapid7 ETR
- Check Point links VPN zero-day attacks to Qilin ransomware gang – BleepingComputer
- CISA gives feds 3 days to patch Check Point VPN bug exploited as zero-day – BleepingComputer
- Critical Check Point VPN Flaw Exploited to Bypass Passwords in IKEv1 Setups – The Hacker News
- Qilin ransomware affiliate exploited Check Point VPN zero-day (CVE-2026-50751) – Help Net Security
- A Qilin ransomware affiliate exploited a Check Point VPN zero-day for a month before a patch existed – The Next Web
slug: checkpoint-vpn-cve-2026-50751-ikev1
コメント