概要
CVE-2026-28726は、Acronis Cyber Protect 17 (Linux, Windows) に存在する機密情報漏えいの脆弱性です。この脆弱性は、不適切なアクセス制御に起因すると報告されています。CVSSスコアは4.3で、深刻度は「MEDIUM」と評価されています。
影響範囲
本脆弱性の影響を受けるのは、以下の製品およびバージョンです。
- Acronis Cyber Protect 17 (Linux版) のビルド41186より前のバージョン
- Acronis Cyber Protect 17 (Windows版) のビルド41186より前のバージョン
具体的には、Acronis Cyber Protect 17のLinux版およびWindows版の両方が対象となります。
想定される影響
この脆弱性が悪用された場合、攻撃者によってシステム内の機密情報が不正に開示される可能性があります。開示される情報の具体的な種類については詳細が明記されていませんが、システム設定、ユーザーデータ、認証情報などが含まれる可能性が考えられます。これにより、さらなる攻撃の足がかりとなるリスクも存在します。
攻撃成立条件・悪用状況
現時点では、本脆弱性の具体的な攻撃成立条件や悪用状況に関する詳細な情報は公開されていません。しかし、不適切なアクセス制御に起因する脆弱性であるため、特定の権限を持つユーザーや、ネットワーク経由でのアクセスが攻撃の起点となる可能性が考えられます。今後の情報公開に注意を払う必要があります。
推奨対策
今すぐできる対策(優先度:高)
- 製品のアップデート: Acronis Cyber Protect 17 をビルド41186以降の最新バージョンに速やかにアップデートしてください。ベンダーから提供される修正パッチを適用することが、最も効果的かつ推奨される対策です。
中長期的な対策
- アクセス制御の見直し: システム全体のアクセス制御設定を定期的に見直し、最小権限の原則に基づいた運用を徹底してください。不要なアクセス権限は削除し、必要なユーザーにのみ最小限の権限を付与することが重要です。
- ログ監視の強化: 不審なアクセスや情報開示の兆候がないか、システムログの監視を強化してください。異常を早期に検知できるよう、SIEMなどのセキュリティ監視ツールを活用することも有効です。
一時的な緩和策
現時点では、ベンダーから具体的な一時的な緩和策は提示されていません。最も確実な対策は、速やかに製品をアップデートすることです。アップデートが困難な場合は、影響を受けるシステムへのネットワークアクセスを制限する、またはAcronis Cyber Protectの機能を一時的に停止するなどの暫定的な措置を検討してください。ただし、これらの措置は業務への影響を考慮し、慎重に実施する必要があります。
確認方法
ご使用のAcronis Cyber Protect 17のバージョンおよびビルド番号を確認してください。製品の管理画面やドキュメントを参照し、現在のバージョン情報を確認できます。ビルド番号が「41186」より前である場合、本脆弱性の影響を受ける可能性があります。
参考情報
本脆弱性に関する詳細情報は、以下のリンクをご参照ください。