結論:v12系は12.3.2.4854へ即時更新。あわせて「バックアップサーバをドメインに参加させない」設計を見直す機会にする
バックアップ製品の代表格であるVeeam Backup & Replication(B&R)に、CVSSスコア9.4(Critical)のリモートコード実行(RCE)脆弱性 CVE-2026-44963 が公表された。Veeamのセキュリティアドバイザリ(KB4869、2026年6月9日公開)によれば、ドメインに参加したバックアップサーバ に対して、認証済みのドメインユーザー——つまり一般社員レベルの低権限アカウント——からリモートコード実行が可能になる。
影響を受けるのは v12系の全ビルド(12.3.2.4465以前) で、修正版は 12.3.2.4854。v13系はアーキテクチャ変更により影響を受けない。発見者はwatchTowrのSina Kheirkhah氏で、本記事執筆時点で実際の悪用は公表されていない。
「悪用未確認ならば急がなくてよい」とはならない。バックアップサーバは、ランサムウェア攻撃者が 本番システムより先に潰しにくる標的 だからだ。バックアップが無事なら身代金を払う理由はなく、バックアップが死ねば交渉力は攻撃者に移る。つまりこの1台は、「身代金は払わない」という経営判断そのものを支える土台である。Veeamの脆弱性は過去にもランサム攻撃グループに繰り返し利用されてきた経緯があり、PoCや悪用が出る前の今が、最も安く対処できるタイミングだ。
押さえるべき1点:今回の脆弱性は「ドメイン参加したバックアップサーバ」だけが条件を満たす。パッチと同時に、そもそもバックアップサーバをドメインから分離する という設計レベルの対処を検討すべきである。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
CVE-2026-44963の中身:何が、どの条件で起きるか
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-44963(Critical) |
| CVSS | 9.4(CVSS v4) |
| 影響 | バックアップサーバ上でのリモートコード実行 |
| 条件 | バックアップサーバがActive Directoryドメインに参加しており、攻撃者が認証済みドメインユーザーであること |
| 対象 | Veeam Backup & Replication v12系の全ビルド(12.3.2.4465以前) |
| 修正 | 12.3.2.4854 以降へ更新(v13系は影響なし) |
| 悪用 | 執筆時点で実際の悪用は公表されていない |
| 発見者 | Sina Kheirkhah氏(watchTowr) |
注目すべきは攻撃条件の低さだ。必要なのは「ドメインユーザーであること」だけで、管理者権限は要らない。フィッシングで一般社員のアカウントを1つ奪えば、そこからバックアップ基盤の中枢を直接攻撃できる構図になる。社内に侵入された時点で、バックアップサーバが「最後の砦」ではなく「次の標的」になってしまう。
なぜ攻撃者はバックアップを最優先で狙うのか
近年のランサムウェア攻撃は、暗号化を実行する前に数日から数週間の潜伏期間を持ち、その間に バックアップの所在を特定して削除・暗号化する のが定石になっている。復旧手段を断ってから本番を暗号化すれば、被害企業の選択肢は支払いに追い込まれるからだ。
逆に言えば、攻撃者に潰されないバックアップを持つ企業は強い。国内の調査でも、被害企業の多くが身代金を支払わず、バックアップからの復旧と事業継続計画(BCP)で切り抜けている実態が示されている。詳しくはJIPDEC調査にみるランサム被害と「払わない」復旧戦略で解説したとおりだ。今回の脆弱性対応は、その戦略の土台が崩れていないかを点検する機会と捉えるべきである。
対応は3段で:判定→パッチ→設計見直し
第1段:対象判定(今日中)
-
Veeam B&Rのバージョンは12.3.2.4465以前か(v13系なら本件は対象外)
-
バックアップサーバはADドメインに参加しているか
-
管理画面・バックアップサーバへ一般セグメントから到達できるか
第2段:パッチ適用(今週中)
- v12系は12.3.2.4854以降へ更新する。バックアップジョブの停止時間を理由に先送りしない——ジョブが数時間止まるリスクと、バックアップ基盤が乗っ取られるリスクは比較にならない。
第3段:設計見直し(今月中に着手)
-
ドメイン分離:バックアップサーバを本番ADに参加させない(ワークグループ運用または専用の管理ドメイン)。今回の脆弱性は、ドメイン分離ができていれば条件自体が成立しない。
-
イミュータブル化:一定期間は誰にも(管理者にも)変更・削除できない不変リポジトリを構成し、奪われても消せないコピーを持つ。
-
3-2-1の徹底:オフライン・オフサイトを含む世代管理。基本はバックアップ3-2-1ルールの実践ガイドに整理している。
-
復旧テスト:「バックアップはある」と「戻せる」は別物だ。復旧手順と所要時間の実測を含むDR計画は中小企業のバックアップ・災害復旧計画を参照してほしい。
チェックの勘所:第2段で止まる企業が大半だが、本件の教訓は第3段にある。バックアップ基盤は「本番と同じ管理基盤に乗せない」ことが構造的な防御になる。パッチは脆弱性1件への対処、分離は脆弱性のクラスごと無効化する対処だ。
「悪用未確認」の今だからこそ動く
セキュリティ更新の優先順位は通常「悪用中が最優先」だが(今週はまさにMicrosoft月例の悪用中Exchange脆弱性がそれに当たる)、バックアップ基盤は例外的に扱うべきだ。攻撃された時点で失うものが「1台のサーバ」ではなく「全システムの復旧可能性」だからである。アドバイザリ公開から悪用開始までの期間は年々短くなっており、詳細が公知になった以上、猶予は長くない。
よくある質問(FAQ)
Q. v13系を使っていれば何もしなくてよいか? A. 本脆弱性(CVE-2026-44963)の対象ではない。ただしドメイン分離・イミュータブル化・復旧テストといった設計面の論点はバージョンに関係なく有効だ。本件を機にバックアップ基盤全体の構成を点検することを勧める。
Q. 悪用は確認されているのか? A. 執筆時点(2026年6月11日)で、実際の悪用は公表されていない。ただしVeeamの脆弱性は過去にランサム攻撃で繰り返し悪用されてきた製品特性があり、詳細公開後に攻撃が始まる前提で動くべきである。
Q. ドメイン分離はすぐにはできない。暫定策は? A. まず12.3.2.4854への更新を最優先で行う。そのうえで、バックアップサーバへのネットワーク到達経路を管理セグメントに限定し、管理アクセスに多要素認証を課し、バックアップサーバ上の不審なプロセス・ログイン監視を強化する。分離は計画化して期限を切ること。
いつGXOに相談すべきか
-
バックアップサーバがドメイン参加のまま本番と同居しており、分離・イミュータブル化の設計を相談したい
-
「戻せるか」を検証したことがなく、ランサム被災時の復旧可能性に確信が持てない
-
パッチ適用や構成変更を自社だけで判断・実施する体制がない
GXOは、セキュリティ診断でバックアップ基盤を含む構成・脆弱性の棚卸しを行い、ドメイン分離・イミュータブル化などの再設計から復旧テストまでを支援している。継続的なパッチ判断はセキュリティ顧問(リテイナー)で伴走可能だ。「身代金は払わない」と言える土台づくりを、攻撃される前に始めてほしい。→ バックアップ基盤の防御設計の相談はこちら
関連記事
参考資料
- Veeam「KB4869: Veeam Backup & Replication Vulnerability (CVE-2026-44963)」 https://www.veeam.com/kb4869
本記事は2026年6月11日時点の公開情報をもとに作成。悪用状況・修正バージョンは今後更新される可能性があるため、Veeamのセキュリティアドバイザリの最新版を必ず確認すること。
そのバックアップ、攻撃者に消されない設計になっていますか
Veeam等のバックアップ基盤の脆弱性・構成診断、ドメイン分離・イミュータブルリポジトリの設計、復旧テストの実施まで一気通貫で支援します。「身代金は払わない」を経営判断として成立させる土台を、中堅・中小企業の構成に合わせて作ります。
※ 営業電話はしません | オンライン対応可 | 情シス / 経営層同席歓迎