バックアップソフト『Quest NetVault』に脆弱性10件、認証回避でサーバー乗っ取りも、CVE-2026-9787ほか14.0.2へ更新を

トップ/記事一覧/バックアップソフト『Quest NetVault』に脆弱性10件、認証回避でサーバー乗っ取りも、CVE-2026-9787ほか14.0.2へ更新を

ニュース本日更新

堀川慎

Backend Engineer / AWS / Django / Go

2026.06.259 min5 views

Share X Hatena LINE LinkedIn RSS

この記事のポイント

企業向けバックアップソフトQuest NetVault Backupに、CVSS8.8の脆弱性が一度に10件見つかりました。認証を回り込んでサーバーを乗っ取り、最高権限でコマンドを実行されかねないものを含みます。2026年6月24日にZDIが公開。修正版は14.0.2。管理画面を外部公開しているサーバーは最優先で更新を。

企業のサーバーやデータを丸ごと守るためのバックアップソフト「Quest NetVault Backup」に、まとめて10件の深刻な脆弱性が見つかりました。いずれも危険度は10点満点中8.8（高）。ログイン画面を回り込んで認証を突破し、最終的にサーバーを乗っ取って自由にコマンドを実行できるものが含まれます。脆弱性を発見・報告したのは、世界最大級の脆弱性買い取りプログラムを運営するトレンドマイクロのZero Day Initiative（ZDI）で、2026年6月24日に10件が一斉公開されました。

対処は、修正版であるNetVault Backup 14.0.2への更新です。ZDIとNVD（米国の脆弱性データベース）はいずれも、開発元Questの14.0.2のリリースノートを修正先として案内しています。バックアップ製品は、社内のあらゆるデータに手が届く「最後の砦」であり、攻撃者にとっては最も奪いたい標的です。とくに管理画面をインターネットに露出しているサーバーは、最優先で更新してください。

Quest NetVault Backupとは何か、なぜ狙われるのか

Quest NetVault Backupは、米Quest Software（旧デル傘下）が提供する企業向けのバックアップ・災害復旧ソフトです。物理サーバー、仮想マシン（VMware・Hyper-V・Nutanixなど）、クラウド、Microsoft 365やデータベース（SQL Server・Oracle）まで、社内のあらゆるデータをまとめて保護・復元します。中堅から大企業まで幅広く使われ、扱うデータ量は数十ペタバイト規模にもなります（現在は「NetVault Plus」として提供）。

バックアップ製品が狙われると被害が大きいのには理由があります。バックアップは社内のほぼすべてのデータを集約しており、その管理サーバーを握られればデータの中身を盗み出すことも、復元できないように破壊することもできるからです。近年のランサムウェア攻撃でも、攻撃者はまずバックアップを潰してから本体を暗号化し、「復旧したければ身代金を払え」と迫る手口が定番になっています。国内製造業を襲ったランサムウェア被害でも、バックアップの扱いが明暗を分けました。今回の10件は、その「最後の砦」そのものに穴が開いていたという話です。

この穴を狙うのは誰で、何を持っていくのか

今回の脆弱性が怖いのは、入口が「いつも使っている管理画面」だという点です。誰がここを踏み台にしてくるのかを先に整理します。

狙ってくるのは、社内ネットワークに入り込んだ攻撃者や、管理画面をインターネットに露出したサーバーを探し回るランサムウェアの実行犯です。彼らが欲しいのは、バックアップに溜め込まれた顧客情報・財務データ・設計図といった会社の中身そのものと、それを人質に取るための「復元できない状態」です。今回見つかった穴のうち2件は、本来必要なはずのログインを回り込めるため、正しいIDやパスワードを持っていない相手でも、細工したリンクを管理者に踏ませるだけで侵入の足がかりを作れます。

残る8件は、いったん管理画面に到達できれば、入力欄に不正な命令を紛れ込ませてサーバー上で攻撃者の好きなプログラムを実行することにつながります。ZDIの評価では、これらも本来の認証を回避できるとされています。最悪の場合、サーバーの最高権限（SYSTEM）が奪われ、バックアップサーバーは攻撃者の道具に変わります。一度そこを握られれば、その先につながった本番システムやほかのサーバーへも被害が広がりかねません。

「危険度8.8」という数字は技術的な深刻さの目盛りにすぎません。運用する企業にとって本当に失われるのは、預かっていたデータと、いざというときに戻せるはずだった「復旧の保険」そのものです。バックアップを守るための仕組みが、逆に侵入経路になってしまうのが、この10件の本質です。

10件の脆弱性の全体像

10件は、攻撃の入口と手口で3つのグループに分けられます。下の早見表で全体像を確認してください。いずれもCVSS 8.8（高）です。

CVE番号	種類	対象部分	ログイン	奪われる権限
CVE-2026-9787	コマンド注入（最も危険）	NVBULogDaemon	回避可	SYSTEM
CVE-2026-7569	XSS （認証回避）	viewclient	不要	連鎖で SYSTEM
CVE-2026-9780	XSS （認証回避）	addclient3	不要	連鎖で SYSTEM
CVE-2026-7570	SQL注入→RCE	NVBUDashboard	回避可	NETWORK SERVICE
CVE-2026-9781	SQL注入→RCE	NVBURASDevice	回避可	NETWORK SERVICE
CVE-2026-9782	SQL注入→RCE	NVBUDeviceDrive	回避可	NETWORK SERVICE
CVE-2026-9783	SQL注入→RCE	NVBURemovableMedia	回避可	NETWORK SERVICE
CVE-2026-9784	SQL注入→RCE	NVBULibraryPort	回避可	NETWORK SERVICE
CVE-2026-9785	SQL注入→RCE	NVBULibrarySlot	回避可	NETWORK SERVICE
CVE-2026-9786	SQL注入→RCE	NVBUDashboard	回避可	NETWORK SERVICE

「XSS」は、Webページに悪意あるスクリプト（小さな命令）を紛れ込ませる手口です。今回の2件は本来のログインを回り込めるため、攻撃の起点になります。「SQL注入」は、データを検索する命令文に不正な命令を混ぜてサーバーを操る手口で、ここから最終的にプログラム実行（RCE＝リモートコード実行）まで到達します。「コマンド注入」は、サーバーに直接命令を実行させる最も直接的な手口です。SQL注入とコマンド注入の8件は、いずれも管理用の通信（JSON-RPCと呼ばれる仕組み）の処理に問題があります。

個別の脆弱性

CVE-2026-9787: コマンド注入でSYSTEM権限奪取（最も危険）

ログ処理を担う「NVBULogDaemon」が、利用者から受け取った文字列を十分に確認せずにシステムの命令として実行してしまう欠陥です（CWE-78：OSコマンドインジェクション）。攻撃が成立すると、サーバーの最高権限であるSYSTEMで任意の命令を実行できます。ZDIによれば認証は必要だが回避可能とされ、10件の中で実害が最も大きいものです（ZDI-26-376）。

CVE-2026-7569 / CVE-2026-9780: 認証を回り込むXSS

管理画面の「viewclient」（CVE-2026-7569）と「addclient3」（CVE-2026-9780）の2ページで、入力値の確認不足により悪意あるスクリプトを埋め込めます（CWE-79）。どちらもログインなしで悪用でき、本来の認証を突破する起点になります。利用者が細工されたページを開く操作が必要ですが、ほかの脆弱性と組み合わせることでSYSTEM権限での実行まで連鎖し得ます（ZDI-26-369）。

CVE-2026-7570 / 9781 / 9782 / 9783 / 9784 / 9785 / 9786: SQL注入からのコード実行（7件）

残る7件は、管理用通信を処理する複数の部品で、入力された文字列を確認せずにデータベースへの命令文に組み込んでしまう欠陥です（CWE-89：SQLインジェクション）。対象はダッシュボード（NVBUDashboard：CVE-2026-7570・9786）、装置やメディアの管理部分（NVBURASDevice・NVBUDeviceDrive・NVBURemovableMedia・NVBULibraryPort・NVBULibrarySlot）に分かれます。いずれも最終的にサーバー上でのコード実行（NETWORK SERVICE権限）につながり、認証は必要だが回避可能とされています。同じ種類の欠陥が複数の入力箇所に共通して存在していた形です。

自分は影響を受けるのか

影響を受けるのは、Quest NetVault Backup（14.0.x系）を運用している組織です。ZDIとNVDの公開情報では、検証されたバージョンとしてXSS2件が14.0.1.7、注入系8件が14.0.0.19と記載されています（各報告がそれぞれ1つのビルドで検証しているため番号が分かれています。これより前のバージョンが安全という意味ではありません）。下の表でリスクの大きさを確認してください。

運用状況	リスク	やるべきこと
管理画面をインターネットに公開している	非常に高	即時に14.0.2へ更新＋公開を停止
社内ネットワーク内のみで運用	高（内部侵入時の横展開に悪用）	早急に14.0.2へ更新
14.0.2以降に更新済み	低	更新適用を確認
NetVaultを使っていない	なし	対応不要

なお、米CISAの悪用が確認された脆弱性の一覧（KEV）に、今回の10件は現時点で登録されていません。実際に攻撃された形跡は報告されていないものの、バックアップ製品やファイル転送・VPN機器は、過去にもKEV入りが相次いだ「狙われやすい分野」です。公開された以上、攻撃の試みが増える前に手を打つべきです。

どう対処すればいいのか

対処の基本は、NetVault Backupを14.0.2以降へ更新することです。14.0.2はQuestの公式リリースノートで「Web UIのセキュリティ修正」を含む版として案内されており、ZDIとNVDの全10件もこのリリースノートを修正先として参照しています。導入済みの環境では、まず使用中のバージョンを確認し、14.0.2への適用計画を立ててください。

すぐに更新できない場合の応急策としては、管理画面（Web UI）をインターネットから切り離す、アクセスできる端末やネットワークを限定する、管理者が出所不明のリンクを開かないよう周知する、といった対策でリスクを下げられます。今回のXSS2件は「管理者にリンクを踏ませる」ことが起点になるため、この周知は有効です。ただし、これらはあくまで時間稼ぎであり、根本対応は更新です。バックアップサーバーは攻撃者にとって最優先の標的であることを念頭に、ほかのインフラ機器より優先して対応する価値があります。

確認済みの事実と、未確認の点

✓ 確認済みの事実

✓Quest NetVault Backupに10件の脆弱性（いずれもCVSS 8.8）。2026年6月24日にZDIが一斉公開（ZDI Advisories）
✓内訳はXSS 2件・SQL注入7件・コマンド注入1件。最大でSYSTEM権限での任意コード実行に至る
✓修正版は14.0.2。ZDI・NVDともQuestの14.0.2リリースノートを修正先として参照
✓CISA KEVには未登録。実際の悪用は現時点で報告されていない

? 現時点で未確認の点

?Questの14.0.2リリースノートは該当項目を「CVE: Pending（採番待ち）」と記載しており、各CVE番号と修正の対応づけは公式には未掲載：修正版14.0.2自体はZDI・NVDが一貫して示している
?影響を受ける詳細なバージョン範囲：公開情報は検証済みビルド（14.0.1.7／14.0.0.19）のみ記載で、それ以前の全範囲は明示されていない
?発見者の氏名：ZDIは匿名の識別子のみ公開

よくある質問

Q. すぐに被害が出るのでしょうか？

A. 現時点で実際に攻撃された形跡は報告されておらず、CISA KEVにも登録されていません。ただし脆弱性の詳細が公開されたため、これから攻撃の試みが増える可能性があります。とくに管理画面を外部公開している場合は早急な更新が必要です。

Q. ログインが必要なら、社内だけなら安全ですか？

A. 安心はできません。10件のうち2件はログインを回り込めるとされ、残る8件もZDIは認証を回避可能と評価しています。また社内ネットワークに侵入した攻撃者が、別のサーバーへ被害を広げる踏み台として悪用する恐れもあります。

Q. どのバージョンに更新すればよいですか？

A. 14.0.2以降です。ZDIとNVDはいずれもQuestの14.0.2リリースノートを修正先として案内しています。なおQuest側のリリースノートでは該当のCVE番号が「採番待ち」と表記されていますが、修正版が14.0.2であることは各情報源で一致しています。

まとめ

Quest NetVault Backupで見つかった10件の脆弱性は、いずれも危険度8.8で、認証の回避からサーバーの乗っ取り（最高権限SYSTEMでのコード実行）までを許す深刻なものです。バックアップは社内データの集約点であり、ランサムウェア攻撃で真っ先に狙われる「最後の砦」です。その守りの仕組みが侵入経路に変わる前に、修正版14.0.2への更新を急ぐべきです。

すぐに更新できない場合は、管理画面をインターネットから切り離し、アクセス範囲を絞ることでリスクを下げられます。現時点で悪用の報告はないものの、詳細が公開された以上、対応が早いほど安全です。自社が使っているソフトの版数とサポート状況を、この機会に棚卸ししておくことをおすすめします。