VPNやUTMを導入していると、「外部からのアクセスは守られている」と考えがちです。
しかし、VPNやUTMは、会社のネットワークを守る装置であると同時に、インターネット側から社内へ入るための入口でもあります。
その入口に脆弱性があり、攻撃者に悪用されると、正規の利用者のように社内ネットワークへ接続されるおそれがあります。
特に中小企業では、VPNやUTMを導入した後、設定や更新を保守会社に任せたままになっていることがあります。
「どの製品を使っているか分からない」
「ファームウェアのバージョンを確認したことがない」
「退職者のVPNアカウントが残っているかもしれない」
このような状態は、緊急の脆弱性情報が出た時に対応が遅れる原因になります。
今回は、2026年6月に注意喚起されたCheck Point製品のVPN認証バイパス脆弱性を例に、中小企業が今すぐ確認すべきリモートアクセス機器の点検ポイントを整理します。
Check Point製品で公表されたVPN認証バイパス脆弱性
2026年6月10日、JPCERT/CCは、Check Point Software Technologies社製品における認証バイパスの脆弱性、CVE-2026-50751に関する注意喚起を公表しました。JPCERT/CCによると、この脆弱性は、VPNリモートアクセスおよびモバイルアクセスに関するもので、非推奨の鍵交換プロトコルであるIKEv1をリモートアクセスまたはモバイルアクセスで使用している構成が影響を受けます。悪用された場合、遠隔の第三者が認証を回避し、不正にリモートアクセスVPN接続を確立する可能性があります。
JPCERT/CCは、開発者が本脆弱性を悪用する攻撃をすでに確認しており、遅くとも2026年5月7日には悪用活動が観測され、6月上旬には悪用の試行が増加していると説明しています。また、影響を受ける可能性がある製品が国内で広く利用されていることも確認しているため、対象製品を利用している場合は、対策、軽減策、侵害有無の調査を実施するよう求めています。
IPAも同日、この脆弱性について注意喚起を出しています。IPAは、製品開発者が攻撃を確認していること、今後被害が拡大するおそれがあること、開発者の手順に従ってホットフィックスを適用すること、攻撃に関連するIPアドレスや調査用クエリを用いてログを確認することを案内しています。
ここで大切なのは、今回の話を「Check Point製品を使っている会社だけの話」として終わらせないことです。
VPN、UTM、ファイアウォール、リモートアクセス装置は、どの会社でも境界に置かれる重要機器です。製品名が違っても、導入後の更新、設定確認、ログ確認、保守契約の管理が必要である点は同じです。
影響を受ける条件を正しく確認する
今回のCVE-2026-50751は、Check Point製品を使っていれば必ず影響を受ける、というものではありません。
IPAの整理では、影響を受ける条件として、VPN Remote AccessまたはMobile Accessが有効であること、Remote AccessでIKEv1が有効であること、レガシーのRemote Accessクライアントを許可していること、接続時にMachine Certificateを要求していないことが挙げられています。
つまり、確認すべきなのは、単に「Check Pointを使っているか」だけではありません。
確認すべきことは、次のような内容です。
- どの製品を使っているか
- 該当するバージョンか
- VPN Remote AccessやMobile Accessを有効にしているか
- IKEv1を使っているか
- 古いリモートアクセスクライアントを許可しているか
- 接続時に端末証明書を要求しているか
- ホットフィックスを適用済みか
- ログ上、悪用の痕跡がないか
この確認は、製品の管理画面に入れる担当者だけで完結しないことがあります。設定変更によってVPN接続ができなくなる場合もあるため、保守会社、販売代理店、ネットワーク管理者、必要に応じて製品ベンダーの公式情報を確認しながら進めるべきです。
中小企業が最初に作るべき「VPN・UTM台帳」
緊急の脆弱性情報が出た時に、最初に困るのは「自社が対象か分からない」ことです。
そのため、まず作るべきものは、難しいセキュリティ文書ではなく、VPN・UTM・ルーターなどの一覧です。
最低限、次の項目を1枚にまとめてください。
| 確認項目 | 記入例 |
|---|---|
| 設置場所 | 本社、工場、店舗、データセンター |
| 製品名 | UTM、VPN装置、ファイアウォール、ルーター |
| メーカー | Check Point、Fortinet、Yamaha、Palo Alto Networks、Ciscoなど |
| 型番 | 機器本体または管理画面で確認 |
| OS・ファームウェア | バージョン、ビルド番号、Hotfix番号 |
| 用途 | VPN、拠点間接続、インターネット出口、公開サーバー保護 |
| 外部公開 | 管理画面、VPNポータル、SSL-VPN、IPsec VPNなど |
| 保守契約 | 契約あり、契約切れ、販売店保守、メーカー保守 |
| 管理者 | 社内担当者、保守会社、販売店 |
| ログ保存 | 保存期間、保存先、確認できる人 |
| 最終更新日 | ファームウェア更新日、設定変更日 |
| 緊急連絡先 | 保守会社、販売店、社内責任者 |
この台帳がないと、脆弱性情報が出ても「誰に聞けばよいのか」「何を確認すればよいのか」が分かりません。
反対に、台帳があれば、JPCERT/CCやIPAの注意喚起を見た時に、対象製品の有無、保守会社への確認、更新作業の優先順位をすぐに判断できます。
保守会社に確認すべき質問
VPNやUTMの管理を外部に任せている場合でも、自社側で確認すべきことがあります。
「保守会社に任せているから大丈夫です」ではなく、次の質問に答えられる状態にしておくことが重要です。
- 当社で使っているVPN・UTMの製品名、型番、バージョンは何ですか
- 今回のCVE-2026-50751の対象製品または対象構成に該当しますか
- 該当する場合、ホットフィックスは適用済みですか
- 適用していない場合、いつ適用しますか
- 業務停止やVPN接続断が発生する可能性はありますか
- 一時的な軽減策は必要ですか
- IKEv1や古いリモートアクセスクライアントを使っていますか
- 端末証明書や多要素認証を利用していますか
- 2026年5月7日以降のログ確認はできますか
- 悪用の痕跡があった場合、どのように連絡されますか
- 保守契約やメーカーサポートは有効ですか
- サポート終了製品が含まれていませんか
IPAは、今回の脆弱性への対策として、ホットフィックスの適用に加え、レガシーのRemote Accessクライアント接続のサポート削除、リモートアクセス用VPN認証をIKEv2のみに設定すること、Machine Certificateを必須にすることなどの軽減策を挙げています。
このような設定は業務影響を伴う場合があるため、社内の判断者と保守会社が連携して進める必要があります。
「VPNにつながった後」を考える
VPNの危険性は、入口を突破されることだけではありません。
VPN接続に成功されると、攻撃者は社内ネットワークに近い位置から活動できる可能性があります。
そのため、VPN機器の脆弱性対応では、機器の更新だけでなく、次の確認も必要です。
- VPN利用者の一覧
- 退職者や異動者のアカウントが残っていないか
- 共有アカウントを使っていないか
- 管理者アカウントのパスワードが使い回されていないか
- 多要素認証を利用しているか
- 接続元の制限をしているか
- VPN接続後にアクセスできる範囲を制限しているか
- ファイルサーバー、会計システム、基幹システムへ過剰にアクセスできないか
- バックアップサーバーにVPN経由で直接アクセスできないか
- ログが残り、後から確認できるか
Check Pointの公表では、CVE-2026-50751について、攻撃者が有効なパスワードを持たずにVPN接続を確立できる可能性があり、観測された事例のうち1件ではQilinランサムウェア関連の侵害後活動が確認されたとされています。
この点からも、VPN機器だけを直して終わりにせず、「もし社内に入られていたら、どこまで到達できるか」を確認することが重要です。
ログ確認を後回しにしない
脆弱性対応では、更新作業に意識が向きがちです。
もちろん更新は重要ですが、すでに悪用されていないかを確認することも同じくらい重要です。
JPCERT/CCは、既知の攻撃で使われた通信元などの情報が開発者から提供されているため、開発者の最新情報を参考に、本脆弱性を悪用する攻撃の影響を受けていないか調査するよう案内しています。
Check Pointも、インシデント対応チームは、最も早く観測された悪用日である2026年5月7日からのフォレンジックログ監査と設定レビューを優先すべきだと説明しています。
中小企業で現実的に確認したいログは、次のようなものです。
- VPN接続ログ
- 失敗ログ、成功ログ
- 見慣れない国や地域、IPアドレスからの接続
- 深夜、休日など通常と異なる時間帯の接続
- 退職者や休眠アカウントでの接続
- 管理者アカウントのログイン
- 設定変更履歴
- ファームウェア更新履歴
- ファイルサーバーやNASへのアクセスログ
- Active Directoryやクラウド認証のログ
ただし、ログの見方は製品や構成によって異なります。
自社で判断できない場合は、ログを削除せず、保守会社や専門家に確認してください。機器の再起動、初期化、ログ削除を先に行うと、後から調査できなくなる場合があります。
すぐに更新できない時の考え方
業務上の事情で、すぐにホットフィックスを適用できないこともあります。
たとえば、VPN停止によって在宅勤務、拠点間通信、販売管理システム、工場の遠隔保守に影響が出る場合です。
その場合でも、「業務に影響があるから何もしない」は危険です。
すぐに更新できない場合は、暫定措置を検討します。
- 影響を受ける設定を無効化できるか
- 古いプロトコルや古いクライアントを停止できるか
- 接続元IPアドレスを制限できるか
- VPN利用者を一時的に必要最小限にできるか
- 多要素認証や端末証明書を必須にできるか
- 夜間や休日の接続を制限できるか
- ログ監視を一時的に強化できるか
- 代替の接続手段を用意できるか
- 更新作業の日時を経営者が承認しているか
IPAは、影響を受けるシステムにはサポート終了状態のものが含まれるため、サポート終了製品については製品開発者のライフサイクルポリシー等を踏まえ、移行などの対応を検討するよう案内しています。
古い機器を使い続けている場合、今回の対応だけでなく、機器の入れ替え計画も必要です。
緊急点検チェックリスト
今回のような注意喚起が出た時、中小企業では次の順番で確認すると実務に落とし込みやすくなります。
1. 自社に対象製品があるか確認する
まず、VPN、UTM、ファイアウォール、ルーターの一覧を確認します。
製品名が分からない場合は、機器本体のラベル、請求書、保守契約書、販売店の見積書、管理画面、ネットワーク構成図を確認します。
2. 保守会社に対象可否を確認する
対象製品または対象構成に該当するかを確認します。
「Check Pointを使っていない」場合でも、他のVPN・UTM製品で同様の緊急脆弱性が出た時に備え、台帳を整備します。
3. バージョンと設定を確認する
ファームウェア、Hotfix、VPN設定、古いプロトコル、リモートアクセス機能の有効化状況を確認します。
管理画面に入れない場合は、誰が管理権限を持っているかを確認します。
4. 更新または軽減策を実施する
公式アドバイザリに従って更新します。
更新がすぐにできない場合は、保守会社と相談し、暫定的な軽減策を実施します。
5. ログを確認する
対象期間のVPN接続ログ、管理者ログイン、設定変更履歴を確認します。
今回のCheck Point事案では、Check Pointが2026年5月7日以降のログ監査と設定レビューを優先すべきだと説明しています。
6. VPN利用者を整理する
退職者、異動者、外部委託先、使っていないアカウントを確認します。
不要なアカウントは停止し、共有アカウントは廃止または利用方法を見直します。
7. 対応記録を残す
いつ、誰が、何を確認し、どの対策を行ったかを記録します。
取引先や監査で説明を求められた時、記録がなければ「対応した」と説明することが難しくなります。
今回を機に決めておきたい社内ルール
VPN・UTMの脆弱性対応は、技術担当者だけの仕事ではありません。
経営者、総務、現場責任者、保守会社が関わる業務継続の問題です。
今回を機に、次のルールを決めておくことをおすすめします。
- VPN・UTM・ルーターの台帳を作る
- 保守契約の有効期限を管理する
- サポート終了製品を使い続けない
- JPCERT/CC、IPA、製品ベンダーの注意喚起を確認する担当者を決める
- 緊急脆弱性が出た時の社内連絡ルートを決める
- 更新作業を承認する責任者を決める
- 業務停止が必要な場合の判断基準を決める
- VPN利用者を定期的に棚卸しする
- 退職者、異動者、委託先のVPNアカウントを速やかに停止する
- ログの保存期間と確認方法を決める
- サポート終了機器の入れ替え計画を作る
IPAは、中小企業向けに「中小企業の情報セキュリティ対策ガイドライン」を公開し、2026年3月27日に第4.0版を公開しています。中小企業向けの対策は、特別な大企業向け対策ではなく、まず自社の状況を把握し、基本的な対策を継続することから始まります。
まとめ
VPNやUTMは、導入しただけで安全が続くものではありません。
特にリモートアクセス機器は、インターネットと社内ネットワークの境界にあるため、脆弱性が悪用されると大きな被害につながる可能性があります。
今回のCheck Point製品の脆弱性では、遠隔の第三者が認証を回避し、不正にVPN接続を確立する可能性があること、すでに悪用が確認されていること、ログ確認やホットフィックス適用が求められていることが、JPCERT/CCやIPAから注意喚起されています。
中小企業が今すぐ確認すべきことは、次の5つです。
- 自社のVPN・UTM・ルーターの製品名とバージョンを確認する
- 保守会社に、対象脆弱性への該当有無と対応状況を確認する
- ホットフィックスまたは軽減策を実施する
- VPN接続ログと管理者ログを確認する
- 退職者アカウント、共有アカウント、古いVPN設定を整理する
「導入済みだから安全」ではなく、誰が管理し、いつ更新し、異常があった時に誰が確認するのかを決めておくことが重要です。
ライトハウスコンサルタントでは、中小企業向けに、VPN・UTM・ルーターなどの外部接続機器の棚卸し、保守契約の確認、脆弱性対応の運用整理、退職者アカウント点検、ログ確認体制づくりを支援しています。まずは、自社にどのVPN・UTMがあるかを一覧化するところから始めてください。
- 投稿タグ
- Check Point, CVE-2026-50751, UTM, VPN, ファームウェア更新, ランサムウェア対策, リモートアクセス, 中小企業のセキュリティ, 脆弱性対策