Veeam Backup & Replicationに重大なセキュリティ脆弱性が発見され、認証済みのドメインユーザーがバックアップサーバー上でリモートコードを実行できることが明らかになりました。
CVE-2026-44963として追跡されているこの脆弱性のCVSSv4スコアは9.4で、深刻度「クリティカル」に分類されます。企業のセキュリティチームには早急な対応が求められています。
この脆弱性はWatchTowrのSina Kheirkhah(@SinSinology)氏によって報告され、2026年6月9日に公開されました。
影響を受けるのはVeeam Backup & Replication バージョン12からバージョン12.3.2.4465まで、およびそれ以前のバージョン12系のビルドすべてで、企業環境に広く展開されている複数のメジャーリリースが対象となっています。
特に注目すべき点として、この脆弱性はドメイン参加済みのバックアップサーバーにのみ影響します。特権的な管理者権限がなくても、認証済みドメインユーザーであればこの脆弱性を悪用し、バックアップサーバー上でリモートコード実行(RCE)を直接達成できます。
Veeamによれば、ドメインユーザーアカウントは組織内で広く利用されているため、このアタックベクターは特に危険であり、Active Directory環境における悪用のハードルを大幅に引き下げるとのことです。
サポート対象外のバージョンについては正式なテストが行われていませんが、脆弱性が存在するものと見なされており、同様の対処が必要です。
バックアップサーバーは、ランサムウェアや破壊的な攻撃キャンペーンにおける高価値な標的です。脅威アクターはランサムウェアを展開する前に被害者の復旧手段を奪うため、日常的にバックアップインフラを狙い、交渉力を最大化しようとします。
VeeamバックアップサーバーにおけるRCE脆弱性を悪用されると、攻撃者に侵入の足がかりを与えることになり、組織全体のディザスタリカバリ戦略が無効化される恐れがあります。
高いCVSSスコア、低い認証ハードル、そしてバックアップサーバーの戦略的重要性が相まって、CVE-2026-44963は短期間で武器化される可能性が非常に高い脆弱性と言えます。
Veeam自身もアドバイザリの中でこのリスクを認めており、パッチが公開されると脅威アクターは通常それをリバースエンジニアリングして未適用システムを標的とするエクスプロイトを開発すると警告しています。
影響が確認されているVeeam Backup & Replicationのバージョンは以下のとおりです:
なお、バージョン13.x系はそのリリースラインで導入されたアーキテクチャの変更により影響を受けません。すでに新しいメジャーバージョンへ移行済みの組織には、一定の保護が確保されています。
Veeamはアドバイザリと同時にリリースされたVeeam Backup & Replication 12.3.2.4854でこの脆弱性を修正しました。バージョン12.x系を利用しているすべてのユーザーは、直ちにこのビルドへアップグレードしてください。
即時パッチ適用が困難な組織に対しては、VeeamのSecurity Best Practice Guideにおいて、ドメイン参加構成ではなくワークグループモードでバックアップサーバーを運用することを推奨しています。これにより、この脆弱性の影響を直接緩和できます。
バックアップインフラをActive Directory環境全体から分離することで、パッチ適用が完了するまでの間、Active Directory環境への攻撃対象領域を大幅に縮小できます。
セキュリティチームは以下のアクションを優先して実施してください:
Veeamが企業環境に広く普及していること、そしてバックアップインフラの重要性を踏まえ、現在の脅威検出状況にかかわらず、各組織はこの脆弱性を最優先で修正すべき対象として取り扱ってください。
翻訳元: https://cyberpress.org/critical-veeam-vulnerability/
