はじめに:「バックアップがあるから大丈夫」は過去の常識
ランサムウェア対策として、多くの企業がバックアップ体制を整えてきました。「万が一暗号化されても、バックアップから復旧すればいい」──この考え方は、一定の合理性があります。
しかし、攻撃者もその「常識」を熟知しています。
近年のランサムウェア攻撃では、本番環境を暗号化する前に、まずバックアップ基盤を無力化するケースが増えています。バックアップサーバーへの侵入、バックアップデータの削除や暗号化、そしてリストア手段の破壊。攻撃者にとって、バックアップは「最後の砦」ではなく「最初に潰すべき標的」になっているのです。
そうした状況の中、2026年1月に公開されたVeeam Backup & Replicationの脆弱性「CVE-2025-59470」は、バックアップ基盤のセキュリティを根本から問い直す契機となりました。
CVE-2025-59470とは:何が起きるのか(正確に)
脆弱性の概要
CVE-2025-59470は、Veeam Backup & Replicationに存在する重大な脆弱性で、CVSSスコアは9.0(Critical)と評価されています。
Veeam公式のセキュリティアドバイザリ(KB4792、2026年1月6日公開)によると、この脆弱性はBackup Operator / Tape Operator といった高権限ロールを持つユーザーが、細工したパラメータ送信により postgres 権限でリモートコード実行(RCE)できる可能性があるとされています。
なお、Veeamは本脆弱性を内部テストで発見したと説明しています。
重要な前提条件
ここで押さえておくべきポイントがあります。
この脆弱性は「外部から未認証で即座にRCE」というタイプではありません。CVSSベクタでも「PR:H(高権限が前提)」と評価されています。
PR:Hは「攻撃成立に"高い権限(またはそれを奪われた状態)"が必要」という意味で、権限管理と認証強化が脆弱性対策そのものになります。
つまり、高権限ロールを持つユーザー、または奪取された高権限アカウントが起点になるという性質であり、脆弱性対応は「パッチを当てれば終わり」ではなく、権限管理・アカウント監視・ネットワーク分離設計がセットで問われます。
影響バージョンと修正版
Veeam公式情報(KB4792)に基づく対象範囲は以下の通りです。
項目 | 内容 |
|---|---|
影響を受けるバージョン | Veeam Backup & Replication 13.0.1.180 およびそれ以前(v13系) |
修正版 | 13.0.1.1071 |
※ビルド番号は分かりづらいですが、Veeamの案内では本件の修正を含むリリースが 13.0.1.1071 とされています。
※本記事はVeeamのKB4792で取り扱われている「v13系の脆弱性」を前提に整理しています。v12以前はKB4792の範囲では対象外とされていますが、運用上は別の脆弱性情報も定期的に確認してください。
なぜバックアップ基盤が攻撃者に狙われるのか
理由1:最も高い権限を持つシステム
バックアップサーバーは、その役割上、社内のほぼすべてのサーバーやデータベースに接続できる必要があります。ドメイン管理者権限、データベース管理者権限、ストレージへのフルアクセス──これらを集約して持っているのがバックアップ基盤です。
攻撃者から見れば、1台のサーバーを侵害するだけで、社内全体への足がかりを得られる可能性があります。
理由2:監視の死角になりやすい
本番環境のサーバーやエンドポイントには、EDRやSIEMによる監視が導入されていることが増えました。しかし、バックアップサーバーはどうでしょうか。
「バックアップは安全な場所」という思い込みから、監視対象から外れていたり、ログの保存期間が短かったりするケースは少なくありません。攻撃者にとっては、検知されにくい侵入経路となります。
理由3:高権限ロールの管理が甘くなりがち
今回のCVE-2025-59470が示すように、Backup OperatorやTape Operatorといった権限ロールが悪用の起点になり得ます。
これらのロールは「バックアップ運用のため」に付与されますが、付与された人数、認証強度、利用状況の監視は十分でしょうか。退職者のアカウントが残っていたり、共有アカウントが使われていたりするケースも珍しくありません。
「パッチを当てれば終わり」ではない理由
Veeamはすでにこの脆弱性に対する修正版(13.0.1.1071)を公開しています。当然、パッチ適用は最優先で実施すべきです。
しかし、パッチを当てたからといって、それで「安全」とは言い切れません。
すでに侵害されている可能性
脆弱性情報が公開される前に、攻撃者がこの脆弱性を悪用していた可能性はゼロではありません。パッチは「今後の攻撃」を防ぎますが、「過去の侵害」を検知・修復するものではありません。
パッチ適用後に確認すべきは、「すでに不正アクセスの痕跡がないか」という点です。
権限ロールの問題は残る
今回の脆弱性は「高権限ロールが前提」です。つまり、以下のような状況があれば、パッチを当てても根本的なリスクは残ります。
Backup Operator / Tape Operator の割り当て人数が把握できていない
これらのロールに多要素認証(MFA)が適用されていない
共有アカウントや退職者アカウントが残っている
権限ロールの操作ログが取得・監視されていない
設計・構成の問題は別問題
脆弱性とは別に、バックアップ基盤のセキュリティ設計そのものに問題があるケースは珍しくありません。
バックアップサーバーが本番環境と同一セグメントに配置されている
バックアップデータが暗号化されていない
イミュータブル(変更不可)バックアップの仕組みがない
リストアテストが定期的に実施されていない
これらは脆弱性とは無関係に存在するリスクであり、パッチでは解消されません。
実際に起こり得る被害シナリオ
CVE-2025-59470のような脆弱性が悪用された場合、企業はどのような被害を受ける可能性があるのでしょうか。具体的なシナリオを想定してみます。
シナリオ1:ランサムウェア攻撃の完遂
攻撃者は何らかの方法で高権限ロールのアカウントを奪取し、Veeamサーバーに侵入。バックアップデータを削除または暗号化します。その後、本番環境のサーバー群を暗号化。被害企業は復旧手段を失い、業務停止に陥ります。
バックアップからの復旧ができないため、身代金交渉に応じざるを得ない状況に追い込まれる可能性があります。
シナリオ2:データ窃取と二重恐喝
バックアップデータには、本番環境のあらゆる情報が含まれています。顧客情報、財務データ、技術情報──これらが一括で窃取される可能性があります。
攻撃者は「データを公開する」と脅迫する二重恐喝を仕掛けることができます。暗号化被害がなくても、情報漏洩による信用失墜は避けられません。
シナリオ3:証拠隠滅と長期潜伏
高度な攻撃者は、侵入の痕跡を消すためにバックアップデータを改ざんします。フォレンジック調査で過去のログを復元しようとしても、バックアップ自体が汚染されていれば、正確な被害範囲の特定が困難になります。
この時点で不安を感じたら
ここまで読んで、以下のような疑問が浮かんだ方はいませんか。
「うちのVeeamは該当バージョンなのか、すぐには分からない」
「Backup Operatorが何人いるか、把握できていない」
「パッチは当てたが、侵害されていたかの確認はしていない」
1つでも当てはまるなら、30分の現状整理だけでも価値があります。
GXO株式会社では、バックアップ基盤のリスク簡易診断(無料)を実施しています。「該当バージョンか分からない」「権限設計が不安」という段階からでも相談可能です。
相談後、「影響範囲(バージョン/権限/露出)」「優先度付きToDo」「まず見るべきログ観点」を1枚に整理してお渡しします。
※情シス1名体制/運用が属人化している場合でも、現状把握から一緒に整理できます。
※CISO不在/兼務体制でも、意思決定に必要な「優先度付きToDo」まで整理します。
30秒で送信できます(会社名・ご担当名・連絡先・簡単な状況だけ)
※営業目的の一斉連絡は行いません(必要な範囲で1回ご連絡します)
自社で今すぐ確認すべきチェックリスト
以下の項目について、自社の状況を確認してください。1つでも「不明」「未対応」がある場合は、設計レビュー(30〜60分)だけでも推奨です。
チェック1:バージョン確認
Veeam Backup & Replicationのバージョンが**13.0.1.180以前(v13系)**かどうか把握していますか。該当する場合は、修正版(13.0.1.1071)への更新が必要です。
チェック2:権限ロールの棚卸し
Backup Operator / Tape Operator / Backup Administrator の割り当て人数を把握していますか。退職者や不要なアカウントが残っていませんか。
チェック3:認証強度
これらの高権限ロールに、多要素認証(MFA)や強固なパスワードポリシーが適用されていますか。共有アカウントは使用されていませんか。共有アカウント(共用ID)が残っている場合は優先的に是正対象です。
チェック4:ネットワーク分離
バックアップサーバーは、本番環境とは別のネットワークセグメントに配置されていますか。管理コンソールへのアクセス経路は制限されていますか。
チェック5:バックアップデータの保護
バックアップデータは暗号化されていますか。イミュータブル(変更不可)バックアップの仕組みは導入されていますか。
チェック6:ログ・監視体制
バックアップジョブの変更・失敗・異常操作を検知できる仕組みはありますか。ログは十分な期間保存されていますか。
チェック7:侵害痕跡の確認
パッチ適用前の期間について、不正アクセスや異常な操作がなかったか、最低限の確認を実施しましたか。
自社で対応できること、専門家に頼るべきこと
ここまでの内容を踏まえ、対応の境界線を整理します。
自社で対応可能な範囲
パッチの適用(13.0.1.1071への更新)
権限ロールの棚卸しと不要アカウントの削除
基本的なログの確認
リストアテストの実施
これらは、情報システム部門で対応可能な範囲です。まずはここから着手してください。
専門家に相談すべき範囲
侵害の痕跡調査(フォレンジック)
ネットワーク構成・権限設計の見直し
バックアップ基盤全体のセキュリティ設計評価
継続的な監視体制の構築
「確認できない」「判断できない」項目の可視化
これらは、専門的な知見とツールが必要になります。「確認できない」「判断できない」という状態は、リスクが可視化できていない状態です。ここが相談の自然な入口になります。
なぜ「今」専門家に相談すべきなのか
今回の脆弱性は、単なる「アップデート案件」ではありません。
バックアップ基盤は構造上、広範な接続権限・資格情報・バックアップデータそのものを保持しています。ここが侵害されると、復旧・調査・封じ込めのすべてが難しくなります。
また、パッチは「これからの攻撃」を抑えるもので、適用前に侵入されていないか、設定や運用が攻撃に耐えるかまでは保証しません。
だからこそ、いま必要なのは「アップデート完了」ではなく、次の3点の確認です。
影響範囲の特定:該当バージョン、露出状況、権限ロールの把握
侵害痕跡の確認:ログ、ジョブ改変、管理者操作の監査
復旧不能化を防ぐ設計の点検:分離・イミュータブル・監視
ここを短期間でやり切るには、第三者の視点が最も早いケースが多いです。
GXO株式会社のアプローチ
GXO株式会社は、脆弱性スキャンやパッチ適用の代行だけを行う会社ではありません。
私たちは、DX推進、システム開発、業務設計を理解した上で、セキュリティ対策を「業務に組み込める形」で提案します。バックアップ基盤のセキュリティは、技術的な対策と運用プロセスの両面からアプローチする必要があるからです。
影響範囲整理(Veeam / 権限ロール / ネットワーク構成)
優先度判断(業務影響 × 成立条件 × 端末分布)
侵害痕跡の簡易確認
「次の脆弱性」でも回せる仕組み化
「何から手をつければいいか分からない」という段階からでも、現状整理の支援が可能です。
まとめ:CVE-2025-59470から学ぶべき3点
高権限ロールの管理が脆弱性の成否を分ける
「外部から即RCE」ではないからこそ、権限管理・認証強化・監視がセットで問われます。パッチ適用は出発点に過ぎない
過去の侵害確認、設計の見直し、運用プロセスの整備まで含めて「対応完了」です。「確認できない」はリスクが見えていない状態
可視化できていない領域こそ、専門家の視点を入れる価値があります。
次のステップ:「復旧できる前提」が崩れる前に
「パッチは当てたが、他に何をすべきか分からない」
「権限ロールの管理状況に自信がない」
「侵害されていないか確認したい」
こうしたお悩みがあれば、まずはご相談ください。現状のヒアリングから始め、優先すべき対応を一緒に整理します。
"復旧できる前提"が崩れる前に、最後の砦を点検しませんか。
30秒で送信できます(会社名・ご担当名・連絡先・簡単な状況だけ)
※営業目的の一斉連絡は行いません(必要な範囲で1回ご連絡します)
ご相談時は「Veeam脆弱性(CVE-2025-59470)の記事を見た」とお伝えいただければスムーズです。
よくあるご質問(FAQ)
Q1. CVE-2025-59470の修正版はどこで入手できますか?
Veeam社の公式サポートサイトから最新バージョン(13.0.1.1071)をダウンロードできます。詳細はVeeam公式のKB4792をご確認ください。
Q2. v12以前のバージョンは影響を受けますか?
KB4792で案内されている本脆弱性(CVE-2025-59470)の影響を受けるのはv13系(13.0.1.180以前)です。v12以前はKB4792の範囲では対象外とされていますが、運用上は他の脆弱性情報も定期的に確認することを推奨します。
Q3. パッチを当てれば安全ですか?
パッチは今後の攻撃を防ぐためのものです。パッチ適用前に侵害されていた可能性の確認、権限ロールの見直し、設計・運用面の点検も併せて実施することを推奨します。
Q4. 「高権限ロールが前提」とは具体的に何ですか?
Veeamの管理において、Backup Operator、Tape Operator、Backup Administratorなどの権限ロールを指します。CVSSベクタの「PR:H」は「攻撃成立に高い権限が必要」という意味であり、これらのロールを持つアカウントが悪用の起点になり得ます。
Q5. 相談時に何を準備すればいいですか?
特別な準備は不要です。現在のVeeam環境の概要(バージョン、構成、運用状況など)を分かる範囲でお伝えいただければ、現状整理から進められます。
Q6. Backup Operator / Tape Operator が付与されているか、どこで確認できますか?
環境により確認手順は異なりますが、重要なのは「誰に付与されているか」「共有になっていないか」「MFAが必須化されているか」「操作ログが追えるか」をセットで棚卸しすることです。付与状況がすぐ追えない場合は、無料診断で現状整理から支援できます。
参考情報
一次情報(Veeam公式)
報道・第三者情報
国内公的機関
この記事についてもっと詳しく知りたい方へ
GXOでは、サイバーセキュリティに関する詳しい資料を無料で提供しています。導入事例や成功事例、具体的な導入手順を詳しく解説しています。
