データ保護大手Veeamは、同社のバックアップ・レプリケーション製品「Veeam Backup & Replication(VBR)」に、認証済みのドメインユーザーであれば誰でもバックアップサーバー上で任意のコードを実行できてしまう、重大なリモートコード実行(RCE)の脆弱性を修正しました。管理者権限を必要とせず、低権限のアカウントでも悪用可能である点が特に深刻です。当サイトでも継続して報じてきた通り、VeeamのRCE脆弱性は過去にAkira・Fogといったランサムウェアグループによる実際の悪用例があり、バックアップ基盤そのものを狙う攻撃の定番の標的であり続けています。
サマリー
- Veeamは2026年6月9日ごろ、Veeam Backup & Replication(VBR)における重大なリモートコード実行の脆弱性CVE-2026-44963を修正するセキュリティアドバイザリを公表した
- CVSS 4.0のベーススコアは9.4(Critical)。認証済みのドメインユーザーであれば、管理者権限を持たない低権限アカウントでもバックアップサーバー上で任意のコードを実行できる
- 発見・報告したのは、セキュリティ企業watchTowrの研究者Sina Kheirkhah氏で、責任ある開示のプロセスを経て報告された
- 脆弱性の根本原因は信頼できないデータのデシリアライズ(CWE-502)で、Veeam Backup Serviceが公開するTCPポート8000上の.NET Remotingエンドポイントに対し、認証済みクライアントから送られたシリアライズ済みオブジェクトを十分な検証なしに再構築してしまう点にある。3回の連続した呼び出しでセッションを確立したうえで悪意あるペイロードを配信する攻撃チェーンが確認されている
- 影響を受けるのはVeeam Backup & Replication 12.3.2.4465以前のすべてのv12ビルドで、ドメインに参加した構成が対象となる。バージョン13.xはアーキテクチャの変更により影響を受けない
- 修正版はバージョン12.3.2.4854で提供されている。サポートが終了した古いバージョンについては検証されていないが、同様に影響を受ける可能性が高いとされている
- 本稿執筆時点で実際の悪用は確認されていない(EPSS:30日間で2.0%)が、FIN7やCubaといった金銭目的の脅威アクターが過去にVeeamの脆弱性(CVE-2023-27532)を悪用した実績があり、バックアップサーバーはランサムウェアグループにとって定番の標的であるため、予防的なパッチ適用が強く推奨される
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-44963 |
| CVSSスコア | 9.4(Critical、CVSSv4) |
| 対象製品 | Veeam Backup & Replication |
| 影響を受けるバージョン | 12.3.2.4465以前のすべてのv12ビルド(ドメイン参加構成) |
| 対象外バージョン | 13.x系(アーキテクチャ変更のため影響なし) |
| 発見・報告者 | Sina Kheirkhah氏(watchTowr) |
| 脆弱性の分類 | 信頼できないデータのデシリアライズ(CWE-502) |
| 必要な権限 | 認証済みドメインユーザー(低権限で可、管理者権限不要) |
| 修正版 | 12.3.2.4854 |
| 悪用状況 | 本稿執筆時点で実際の悪用は確認されていない(EPSS 2.0%/30日) |
| 過去の関連脆弱性 | CVE-2025-48983、CVE-2025-48984(同様にドメインユーザーによるRCE) |
何が起きたか
Veeamの公式アドバイザリによれば、CVE-2026-44963は「認証済みのドメインユーザーによるバックアップサーバー上でのリモートコード実行を可能にする脆弱性」と説明されています。脆弱性の技術的な原因は、信頼できないデータのデシリアライズ(CWE-502)に分類されるもので、Veeam Backup Serviceが公開するTCPポート8000上の.NET Remotingエンドポイントが、認証済みクライアントから送信されたシリアライズ済みオブジェクトを十分な検証なしに再構築してしまう点にあります。攻撃者は3回の連続した呼び出しによってセッションを確立したうえで、悪意あるペイロードをデシリアライズ処理経由で配信することで、バックアップサービスの権限のもとで任意のコードを実行できるとされています。
特に深刻なのは、この脆弱性の悪用に管理者権限がまったく必要ない点です。ドメインに参加しているVeeam Backup & Replicationの環境で、標準的な権限を持つドメインユーザーがバックアップサービスへ到達できさえすれば、悪用が成立してしまいます。バックアップサーバーは通常、本番環境のインフラに対する高い権限や認証情報を保持しているため、ひとたび侵害されると被害はホスト単体にとどまらず、接続された他システムにまで及ぶ可能性があります。攻撃者はバックアップジョブを操作したり、保存されたデータを外部へ持ち出したり、接続されたシステムに対してランサムウェアを展開する足がかりとして悪用したりすることが可能だと指摘されています。
影響範囲と対策
影響を受けるのは、Veeam Backup & Replication 12.3.2.4465以前のすべてのv12ビルドです。Veeamは、バージョン13.xについてはアーキテクチャの変更により本脆弱性の影響を受けないと説明しています。サポートが終了した古いバージョンについては検証されていないものの、同様の脆弱性を抱えている可能性が高いとされています。この脆弱性は、バージョン12.3.2.4854で修正されています。管理者は直ちにこの更新版を適用することが強く推奨されます。詳細な技術情報や適用手順は、Veeam公式のナレッジベース記事(KB4869)で確認できます。
なお、この修正が含まれるパッチには、CVE-2026-44963以外にも複数の脆弱性が同時に修正されており、中にはより高いCVSSスコアを持つものも含まれています。CVE-2026-44963が特に注目を集めているのは、認証のハードルが低い(管理者権限が不要な)点にあります。
実際の悪用状況と過去の教訓
本稿執筆時点で、CVE-2026-44963の実際の悪用は確認されていません。しかし、当サイトで継続して報じてきた通り、Veeamのバックアップ製品はこれまでも繰り返しランサムウェアグループの標的になってきました。過去には、Veeamの脆弱性CVE-2024-40711をランサムウェアAkiraとFogが悪用した事例が確認されており、攻撃者はポート8000の特定のURIを悪用してVeeamのマウントサービスを起動させ、net.exeを実行させることでローカル管理者権限を持つアカウントを新規作成するという手口を用いていました。また、より古いCVE-2023-27532についても、FIN7やCubaといった金銭目的の脅威アクターによる悪用が確認されています。
Veeamのバックアップ・レプリケーション製品を巡っては、CVE-2025-23120のように、危険なクラスを手動で列挙するブラックリスト方式のデシリアライズ対策が、新たに発見された悪用可能なクラス(ガジェット)を防ぎきれずに突破されるというパターンが繰り返し確認されてきました。また、2026年3月にも複数の脆弱性(CVE-2026-21666、CVE-2026-21667、CVE-2026-21668)が12系・13系の両方で緊急修正されており、認証済みドメインユーザーによるリモートコード実行という同種のパターンが、Veeam製品において繰り返し発見され続けている実態がうかがえます。ランサムウェアグループがバックアップサーバーを真っ先に狙うのは、復旧手段そのものを破壊することで被害者に身代金の支払いを強制するためであり、この標的化の構造は今後も変わらないとみられます。
情報システム部門への示唆
自組織でVeeam Backup & Replicationをドメイン参加構成で運用している場合は、バージョン12.3.2.4854以降へ直ちにアップグレードすることを強く推奨します。今回の脆弱性は管理者権限を必要とせず、ドメイン内の低権限アカウントが侵害されただけでも悪用が成立してしまうため、パッチ未適用の環境は事実上、ドメイン内の任意の侵害されたアカウントからバックアップ基盤全体への侵入経路を提供している状態に等しいといえます。
あわせて、バックアップサーバーへのネットワークアクセスを、業務上必要な範囲に限定するセグメンテーションの徹底も重要です。ポート8000など、Veeamのサービスが待ち受けるポートへの到達性を、一般のドメインユーザー端末から不必要に許可していないかを見直すことをお勧めします。過去の事例が示すように、バックアップサーバーはランサムウェア攻撃の初期段階で真っ先に狙われる標的であり、ここが侵害されると復旧手段そのものが失われ、身代金支払いへの圧力が一気に高まります。オフラインまたはエアギャップされたバックアップの併用や、バックアップサーバー自体への多要素認証・最小権限アクセスの徹底とあわせて、Veeam製品の脆弱性情報を継続的に監視し、パッチ適用のリードタイムを可能な限り短縮する運用体制を整えておくことが重要です。
出典
- KB4869: Vulnerability Resolved in Veeam Backup & Replication 12.3.2.4854 – Veeam(一次ソース)
- Veeam Backup & Replicationを狙うランサムウェア攻撃が発生 – セキュリティ対策Lab
- Veeamでリモートコード実行が可能な脆弱性、早急なパッチ適用を(CVE-2025-23120) – セキュリティ対策Lab
- Veeam Backup & Replicationに複数の脆弱性 12系と13系で緊急修正(CVE-2026-21666,CVE-2026-21667,CVE-2026-21668) – セキュリティ対策Lab







