バックアップソフトが攻撃の入り口に——Veeamの深刻脆弱性が意味するもの
企業の事業継続を支える最後の砦であるバックアップシステム。その管理ソフトウェア自体に深刻な脆弱性が見つかった場合、何が起こり得るでしょうか。2026年3月、バックアップ管理ソフトの大手ベンダーであるVeeam Softwareの製品に、複数の深刻な脆弱性が発見され、緊急のアップデートが公開されました。中には、認証されたユーザーがリモートからコードを実行可能にする「クリティカル」な脆弱性も含まれています。これは単なるソフトウェアの不具合ではなく、セキュリティの前提を揺るがす事態です。
発覚した脆弱性の深刻さ——CVSSスコア9.9の脅威
セキュリティ情報サイト「Security NEXT」が2026年3月13日に報じたところによると、Veeam Softwareは現地時間の同年3月11日、セキュリティアドバイザリを公開し、バックアップ管理ソフト「Veeam Backup & Replication」の複数の脆弱性に対処したアップデートをリリースしました。
修正対象は、最新版の「Veeam Backup & Replication 13.0.1.2067」および旧版の「同12.3.2.4465」です。それぞれ5件の脆弱性を解消しており、特に「13.0.1.2067」で修正された脆弱性のうち3件は、重要度が4段階中もっとも高い「クリティカル(Critical)」と評価されています。
具体的には、以下の脆弱性が修正されました。
- CVE-2026-21669: 認証されたドメインユーザーがリモートからバックアップサーバ上でコードを実行できる脆弱性。
- CVE-2026-21708: 「Backup Viewer」が「postgres」権限でリモートよりコードが実行できる脆弱性。
- CVE-2026-21671: 「Veeam Software Appliance」の高可用性(HA)運用において、バックアップ管理者の権限を持つ場合にリモートからコードを実行できる脆弱性。
これらの脆弱性の深刻さを数値化した共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、脅威の度合いが明らかです。「CVE-2026-21669」と「CVE-2026-21708」はともに最高に近い「9.9」、「CVE-2026-21671」も「9.1」と評価されています。一般的にCVSSスコアが7.0以上は「深刻」、9.0以上は「緊急」の対応が求められるレベルです。
なぜバックアップソフトの脆弱性が特に危険なのか
バックアップシステムは、ランサムウェアなどによるデータ暗号化や破壊が発生した際に、事業を復旧させるための最終手段です。そのため、攻撃者は標的組織を完全に機能停止に追い込むために、バックアップデータの破壊や、バックアップシステムへの侵入を試みることが少なくありません。
今回発見された脆弱性は、まさにその「最後の砦」を直接攻撃するための経路となり得ます。例えば「CVE-2026-21669」は、すでに何らかの方法でドメインアカウントを奪取した攻撃者が、バックアップサーバそのものを乗っ取ることを可能にします。バックアップサーバが侵害されれば、保存されているバックアップデータの削除や暗号化、あるいはバックアップサーバを踏み台にした内部ネットワークへのさらなる侵入が行われ、復旧の見込みが著しく損なわれる事態に発展します。
記事によると、Veeamはこれらのリスクに対処するため、該当するバージョンを使用しているすべてのユーザーに対し、速やかに提供されたアップデートを適用することを強く推奨しています。
取るべき行動——「設定して終わり」ではないバックアップの現実
この事象は、バックアップ戦略が「ソフトウェアを導入し、バックアップジョブを設定して終わり」ではないことを如実に示しています。バックアップは「データ」を守るだけでなく、それを管理する「システム」自体の安全性も継続的に確保しなければ、いざという時に機能しません。
まず最初に取るべき行動は明確です。Veeam Backup & Replication 12.3 または 13.0 を使用している組織は、直ちに公式のセキュリティアドバイザリ(KB4830, KB4831)を確認し、指定されたバージョン「12.3.2.4465」または「13.0.1.2067」へアップデートを適用してください。アップデート前には、既存のバックアップデータの保全を確認することが重要です。
さらに長期的な視点では、バックアップシステムに対するセキュリティ対策の見直しが求められます。一般的に推奨されるのは、バックアップサーバを一般の業務ネットワークから可能な限り分離すること、バックアップデータへのアクセス権限を最小限に絞ること、そしてバックアップデータそのものの改ざんや削除を防ぐ「イミュータブル(不変)ストレージ」やオフライン/エアギャップバックアップの導入を検討することです。バックアップシステムは、守るべき資産であると同時に、厳重に守らなければならない重要なインフラなのです。
短期的影響:短期的には、Veeam Backup & Replicationを使用するすべての組織が、速やかなアップデート適用を迫られる緊急対応フェーズです。CVSSスコア9.9という極めて深刻な評価は、この脆弱性が公開された情報を元にした比較的容易な悪用(Exploitation)を許す可能性が高いことを示唆しており、アップデート未適用のシステムは直ちに攻撃の標的となるリスクがあります。システム管理者は、アップデート作業の優先度を最上位に設定する必要があります。
中長期的影響:中長期的には、この事案は「バックアップシステムのセキュリティ」という根本的な課題を業界全体に再認識させる契機となるでしょう。バックアップは単なるデータのコピーではなく、事業継続の基盤を成す重要なITインフラです。今回のようにその管理ソフトに深刻な脆弱性が見つかることで、バックアップ自体が攻撃の起点や被害拡大の経路となり得ることが明らかになりました。これを受けて、バックアップシステムの設計段階からのセキュリティ考慮(セキュアバイデザイン)、定期的なセキュリティ評価、そしてバックアップデータの真正性と可用性を確保するための多層防御(例:イミュータブルストレージ、エアギャップ)の重要性が、より一層強調されていくと考えられます。
読者への示唆:読者であるIT管理者やセキュリティ担当者は、まず自組織のバックアップ環境でVeeam製品が使用されていないかを確認してください。使用している場合は、直ちに公式アドバイザリを参照し、該当バージョンへのアップデートを計画・実行しましょう。アップデートはテスト環境で動作確認後、本番環境に適用するのが理想です。さらに、これを機にバックアップシステム全体のセキュリティ体制(ネットワーク分離、アクセス制御、監視ログの取得)を見直すことを強くお勧めします。バックアップは「最後の命綱」です。その命綱が切られないよう、システムそのものの健全性を維持することが、あらゆるサイバー攻撃に対する最も強力な防御の一つとなります。
