サイバーセキュリティ📖 1分で読了

Dell RecoverPointにCVSS最大深刻度の脆弱性発覚中国APTが2年間悪用、VMwareバックアップ基盤が標的に

Dell RecoverPointにCVSS最大深刻度の脆弱性発覚

Dell RecoverPoint for VMsにCVSS 10.0の脆弱性CVE-2026-22769が発覚。中国APT「UNC6201」が2024年半ばから悪用。CISAは2月21日までのパッチ適用を要求。企業が今すぐ取るべき対策を解説。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

VMwareバックアップ製品に最大深刻度の脆弱性が発覚

Dell RecoverPoint for VMsを利用している企業は、即時パッチ適用が必須です。CVSS 10.0の脆弱性CVE-2026-22769が発見され、御社のVMware環境全体が侵害されるリスクがあります。「バックアップ製品は本番環境より安全」という思い込みは、今すぐ捨てる必要があります。多くの企業がこの製品のセキュリティリスクを把握できておらず、対策が遅れている状況です。

Google GTIGおよびMandiantの調査によると、中国系APTグループ「UNC6201」が2024年半ばからこの脆弱性を悪用し、北米企業を標的にした攻撃を継続していたことが明らかになりました。CISAは2月18日にこの脆弱性をKEV(Known Exploited Vulnerabilities)カタログに追加し、連邦機関に対して2月21日までの対応を義務付けています。

ハードコードされた認証情報という根本的な問題

今回の脆弱性の原因は、Apache Tomcat Managerにハードコードされた管理者認証情報にあります。これは開発時に埋め込まれた固定のパスワードであり、攻撃者はこの認証情報を利用して、外部から認証なしでシステムに侵入できる状態でした。ハードコードされた認証情報は、セキュリティの基本原則に反する実装であり、発見されれば誰でも悪用できるという点で極めて危険です。

UNC6201は、この脆弱性を足がかりにSLAYSTYLE Webシェルを設置し、その後BRICKSTORMバックドアを展開しました。2025年9月には、より高度なC#製バックドア「GRIMBOLT」への進化も確認されています。

さらに注目すべきは、VMware環境での横展開に「Ghost NIC」と呼ばれる新しい手法を使用していた点です。これは一時的な仮想ネットワークインターフェースを作成して検知を回避する技術であり、従来のセキュリティ監視では発見が困難な攻撃手法です。

なぜバックアップ基盤が狙われるのか

攻撃者がバックアップ製品を標的にする理由は明確です。まず、バックアップシステムは企業の重要データすべてにアクセスできる位置にあります。侵害されれば、本番環境だけでなく過去のデータまで窃取される可能性があります。

次に、バックアップアプライアンスはEDR(Endpoint Detection and Response)などのセキュリティソフトウェアがインストールされていないケースが多く、攻撃者にとって「盲点」となっています。今回の事例でも、攻撃は約2年間にわたって検知されませんでした。

さらに、VMware環境のバックアップ製品は、仮想化基盤全体への横展開の起点として理想的な位置にあります。一度侵入に成功すれば、複数の仮想マシンに同時にアクセスできる可能性があるためです。

Dell RecoverPoint脆弱性への対策──今すぐ実施すべき5つのアクション

経営層向けサマリーとして、本件は「VMware環境全体の侵害リスク」であり、IT部門だけでなく経営判断として最優先で対応すべき事案です。

自社が該当するかの確認

まず、Dell RecoverPoint for Virtual Machinesを利用しているかを確認してください。VMwareのバックアップにRecoverPointを採用している場合、御社は直接の影響を受けます。バージョンが6.0.3.1 HF1未満であれば、脆弱性が存在します。

CVE-2026-22769対策としてのパッチ適用

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

Dell RecoverPoint for VMs 6.0.3.1 HF1へのアップデートを最優先で実施してください。CISAが定めた期限は2月21日ですが、民間企業であっても同等の緊急性で対応すべき状況です。パッチ適用が困難な場合は、該当システムのネットワーク分離を一時的な緩和策として検討してください。

侵害痕跡の確認

既存環境での侵害痕跡(IoC)チェックを行うべきです。SLAYSTYLE Webシェル、BRICKSTORMバックドア、GRIMBOLTの痕跡がないか、ログやファイルシステムを確認してください。特に2024年半ば以降の不審なアクティビティに注目が必要です。

アプライアンス製品のセキュリティ監査

EDRが導入されていないアプライアンス製品のセキュリティ監査を実施することを推奨します。バックアップシステム、ストレージアプライアンス、ネットワーク機器など、従来セキュリティソフトの対象外だった機器のリスク評価が急務です。

ネットワーク監視とサプライチェーンリスク対応

VMware環境におけるネットワーク監視の強化を検討してください。Ghost NIC手法のような一時的な仮想インターフェースの作成を検知できる監視体制の構築が重要です。また、BeyondTrustの脆弱性(CVE-2026-1731)に続き、リモートアクセス製品が連続して標的となっている傾向があるため、利用中の他製品についても脆弱性情報を定期的に確認してください。

セキュリティ対策の見直しなら今すぐGXOにご相談を

VMware環境のセキュリティ監査やインシデント対応体制の構築は、専門的な知見が必要です。GXOでは、180社以上の支援実績をもとに、セキュリティ基盤の設計から運用まで一気通貫でサポートしています。EDRが導入できないアプライアンス製品の監視体制構築や、脆弱性管理の仕組みづくりなど、緊急のご相談にも対応いたします。

今すぐお問い合わせ

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリChromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

Chromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

2026年2月17日 · 1分で読了

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了

同じカテゴリ【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

2026年1月13日 · 8分で読了