Veeam の深刻な脆弱性 CVE-2026-44963 が FIX:バックアップサーバに対する RCE の可能性

Critical Veeam Vulnerability Allows RCE Attacks on Backup Servers

2026/06/09 CyberSecurityNews — 広く展開されているエンタープライズ向けバックアップ・ソリューション Veeam Backup & Replication に影響を及ぼす深刻なセキュリティ脆弱性が開示された。この脆弱性 CVE-2026-44963 (CVSS v4:9.4:Critical) を悪用する認証済みのドメイン・ユーザーは、バックアップ・サーバ上で任意のリモート・コード実行を可能とするため、データの保護/復旧の運用を Veeam に依存する組織に深刻なリスクが生じている。

この脆弱性の悪用は、認証済みドメイン・ユーザーに対して許され、Backup Server 上でのリモートコード実行 (RCE) が引き起こされる可能性がある。このように、必要権限が低いため、攻撃対象範囲が大きく拡大する。

この脆弱性は、WatchTowr のセキュリティ研究者 Sina Kheirkhah (@SinSinology) により発見/報告されたものである。

Veeam 脆弱性により RCE 攻撃が可能

この脆弱性の特徴は、ドメイン参加済みバックアップ・サーバにのみ影響する点にある。したがって、Active Directory ドメインではなく、ワークグループ構成で Veeam を運用している環境は、この脆弱性の影響を受けない。

これまでの Veeam は、セキュリティ・ベストプラクティスとして、ドメイン構成とワークグループ構成の評価を推奨しており、ドメイン参加環境では攻撃者となり得るユーザープールが拡大することを指摘している。

この脆弱性が影響を及ぼす範囲は、Veeam Backup & Replication バージョン 12 〜 12.3.2.4465 と、12 系のすべての旧バージョンである。対象となる、主なリリースは以下の通りである。

Veeam Backup & Replication 12
Veeam Backup & Replication 12.1
Veeam Backup & Replication 12.2
Veeam Backup & Replication 12.3/12.3.1/12.3.2 (build 4854 未満)

なお、Veeam Backup & Replication 13.x は、アーキテクチャが変更されているため、この脆弱性の影響を受けない。サポート外バージョンは正式に検証されていないが、脆弱性があるという前提で扱うべきである。

すでに Veeam は、2026年6月9日に Backup & Replication 12.3.2.4854 (KB4696) をリリースし、この問題に対処している。ユーザー組織にとって必要なことは、速やかなアップグレードである。

この脆弱性の修正が公開されたことで、攻撃者によるパッチのリバースエンジニアリングが行われ、未修正システム向けのエクスプロイトの開発が進む傾向があることを、Veeam は明確に警告している。

この脆弱性は、CVSS スコアが高く、認証済みドメイン・ユーザーによる RCE が成立するため、未修正環境に対する攻撃が短期間で発生する可能性が高い。

ユーザー組織に強く推奨されるのは、以下の対応である。

  • Veeam Backup & Replication 12.3.2.4854 への速やかなアップグレード。
  • バックアップ・サーバのドメイン参加を監査し、Veeam のベストプラクティスに基づきワークグループ構成への移行を検討する。
  • バックアップ基盤を起点とする、不審なラテラル・ムーブメントや権限昇格の活動を監視する。
  • すべての Veeam Backup Server における、ドメイン・ユーザー・アクセス制御を見直す。

バックアップ・サーバはランサムウェア攻撃者にとって、高価値のターゲットである。したがって、脆弱性 CVE-2026-44963 に対する迅速なパッチ適用は、エンタープライズ・セキュリティ・チームにとって最優先の対応事項である。

訳者後書:Veeam Backup & Replication の脆弱性 CVE-2026-44963 は、ドメインに参加しているバックアップ・サーバにおける、認証されたドメイン・ユーザーの入力処理やアクセス制御の不備に起因します。この確認のギャップを突く低権限のユーザーによるリクエストをシステムが受け入れてしまい、サーバ上でリモート・コード実行 (RCE) が引き起こされる状態が生まれています。問題の背景には、ドメイン構成特有のユーザー管理の仕組みが影響しており、ワークグループ構成であればこの現象は発生しません。ご利用のチームは、ご注意ください。よろしけれれば、Veeam での検索結果も、ご参照ください。