JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月25日、「複数のバックアップソフトウェアの脆弱性について」において、複数のバックアップソフトウェアに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムにおいてSYSTEM権限で任意のコードが実行される可能性があるとされており注意が必要。

  • 複数のバックアップソフトウェアの脆弱性について

    複数のバックアップソフトウェアの脆弱性について

脆弱性が存在するバックアップソフトウェアとして挙げられているプロダクトは次のとおり。

  • Veritas Backup Exec
  • Macrium Reflect
  • Acronis Cyber Backup
  • Acronis Cyber Protect
  • Acronis True Image

脆弱性に関する情報は次のページにまとまっている。

これらバックアップソフトウェアはOpenSSLコンポーネントが配置されるフォルダへのアクセス制限に不備があり、そこが原因となって問題が発生するとされている。この問題は今回確認されているバックアップソフトウェアに限らず、OpenSSLと連携するさまざまなソフトウェアで似たような問題が報告される可能性があるとされていう。情報収集や対応体制を確認した上で、影響がある場合は適切にアップデートを適用することが推奨されている。