チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Check Point VPNにゼロデイってホントでしゅか?うちIKEv1で運用してるんでしゅが……」
「Qilinランサムまで絡んでるって、もう侵入されてないか不安でしゅ」
チップス5月から1か月以上気づかれずに悪用されてたって、もう手遅れの可能性があるでしゅか?
ボスふふふ、5月7日から攻撃が始まり、6月8日にようやくホットフィックスが出た構図だな。IKEv1利用環境は即時の点検が必須だ。
本記事ではCVE-2026-50751の手口とCVE-2026-50752による中間者攻撃リスク、そして今日中に動かすべき切り戻し手順を解説します。
5分後には、IKEv1を停止しIKEv2へ移行するための判断材料がそろいます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずはCheck Pointが緊急アドバイザリで明かした事実関係を整理します。
CVE-2026-50751は、Check Point Security GatewayのRemote AccessおよびMobile Access機能で発生する認証バイパス脆弱性です。
非推奨となったIKEv1鍵交換プロトコルを有効化しているケースに限定されますが、攻撃者はパスワード入力なしにリモートアクセスVPNセッションを確立できます。
Help Net SecurityによればCheck Pointの調査チームは、5月7日に最初の悪用を検知し、6月初旬に攻撃の急増を確認したと公表しています。
被害組織は世界で「数十」とされ、攻撃元のインフラはPalo Alto・Fortinet・F5など他社VPN脆弱性も並行して悪用していたといいます。
本脆弱性の主要事項は以下のとおりです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-50751(認証バイパス)/ CVE-2026-50752(証明書検証不備) |
| 影響製品 | Check Point Security Gateway Remote/Mobile Access(IKEv1有効時) |
| 悪用開始 | 2026年5月7日(観測ベース) |
| 関連アクター | Qilinランサムアフィリエイト(Rclone・Toxを併用) |
| 対応 | 2026年6月8日にホットフィックス公開、IKEv2移行を強く推奨 |
チップス1か月以上、パッチなしで攻撃され続けてたんでしゅか……。
ボスああ。VPN製品の認証バイパスは、ランサム勢にとっては最高の入口だ。気付かれずに横展開する時間も与えてしまうな。
本件は脆弱性単体の話ではなく、ランサム集団の組織化された侵入プロセスを示しています。
BleepingComputerおよびCheck Point Blogの報告によると、攻撃者はCVE-2026-50751でVPN認証を回避した後、社内ネットワークを偵察し、オープンソースの転送ツールRcloneでクラウドストレージへデータを大量に持ち出していました。
通信にはToxプロトコルが使われ、痕跡追跡の難度を上げる工夫がなされています。
窃取後はQilinランサムウェアを展開し、暗号化と公開恐喝の二段構えで身代金を要求するという、近年定番の二重恐喝モデルに沿っています。
IKEv1利用環境がそのまま放置されている企業は、いつ標的になってもおかしくない状態といえます。
本日中に取るべき対応は以下のとおりです。
チップスIKEv2に切り替えれば安心できるでしゅか?
ボス切り替えは大前提だが、すでに侵入を許していないかの調査も同じくらい重要だ。ログ点検まで含めてセットで動くべきだな。
CVE-2026-50751とCVE-2026-50752は、IKEv1という非推奨プロトコルを残し続けることのリスクを改めて突きつけました。
VPN製品は侵入経路として狙われ続けており、運用上の理由でIKEv1を温存している環境は、すでに攻撃側のスキャン対象になっています。
ホットフィックス適用・IKEv2移行・ログ遡及調査の3点を、今日中に動かすことで被害の連鎖を断ち切れます。
VPNやランサム対応の実務に強くなりたい方は、ぜひフリーランス案件で現場経験を積んでみてください。
参考: BleepingComputer「Check Point links VPN zero-day attacks to Qilin ransomware gang」 / Help Net Security「Qilin ransomware affiliate exploited Check Point VPN zero-day (CVE-2026-50751)」 / Check Point Blog「Security Advisory – Action Required」
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
