Veeamは、Backup & Replicationソフトウェアに存在する複数の深刻な脆弱性に対応するセキュリティアップデートを公開しました。これらの脆弱性は、認証済みのユーザーがリモートでコードを実行したり、権限を昇格させたりする可能性があり、過去にはランサムウェア攻撃で悪用された事例も報告されています。対象となるバージョンは12系統および13系統で、最新版への更新が推奨されています。
The Hacker News:Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution
この記事のポイント
影響のあるシステム
- Veeam Backup & Replication 12.3.2.4165以前の12系統すべて
- Veeam Backup & Replication 12系統および13系統(13.0.1.2067より前のビルド)
推奨される対策
- Veeam Backup & Replicationを最新版(12.3.2.4465または13.0.1.2067)に更新する
- 不要なアカウント権限の見直し、認証済みユーザーのアクセス制限
- バックアップサーバーやリポジトリへのアクセスログを確認し、不審な操作がないか監視
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2026-21666 / CVE-2026-21667 / CVE-2026-21669:認証済みユーザーによるBackup Server上でのリモートコード実行脆弱性(CVSS 9.9)
- CVE-2026-21668:認証済みユーザーがBackup Repository上で任意ファイル操作可能な脆弱性(CVSS 8.8)
- CVE-2026-21672:Windows版Veeam Backup & Replicationでのローカル権限昇格脆弱性(CVSS 8.8)
- CVE-2026-21708:Backup ViewerがPostgresユーザーとしてリモートコード実行可能な脆弱性(CVSS 9.9)
- CVE-2026-21671:Backup Administrator権限を持つユーザーがHA構成でリモートコード実行可能な脆弱性(CVSS 9.1)
被害シナリオと影響
今回修正された脆弱性は、認証済みユーザーが悪用するとBackup & Replicationサーバー上で任意のコードを実行できるものや、リポジトリ内の任意ファイル操作、ローカル権限昇格を可能にするものです。特にCVE-2026-21666、CVE-2026-21667、CVE-2026-21669、CVE-2026-21708はCVSS 9.9の深刻度で、攻撃が成功した場合、システム全体が乗っ取られる可能性があります。過去には同種の脆弱性を利用したランサムウェア攻撃の事例も報告されており、未対応環境は企業にとって重大なリスクです。
技術的背景と悪用状況
脆弱性の多くは、認証済みユーザー権限を前提にしていますが、特権を持つユーザーやバックアップビューアーでも攻撃が可能です。Veeamの報告によると、攻撃者はパッチが公開された直後にリバースエンジニアリングを行い、未更新システムを狙う可能性があります。特に企業のバックアップ環境は重要データを扱うため、攻撃成功時の影響は甚大であり、運用中のシステムでは即時のアップデートが望まれます。
国内組織が直ちに確認すべき点
日本国内の企業では、まず自社のVeeam Backup & Replicationのバージョンを確認し、12系統および13系統を使用している場合は、今回公開されたパッチを速やかに適用することが重要です。また、認証済みユーザーの権限管理や不要なアクセス権限の見直し、アクセスログの監視も併せて行うことで、脆弱性の悪用リスクを低減できます。バックアップシステムは企業の重要資産であり、早急な対策が推奨されます。
