メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

VMware製品へのサイバー攻撃が止まない2つの理由

VMwareのベアメタルハイパーバイザー「VMware ESXi」を狙ったランサムウェア攻撃が激化している。何が問題なのだろうか。

» 2023年03月22日 07時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 サーバ仮想化用の「VMware ESXi」(ESXi)に対する攻撃は2020年ごろに見つかったが、対策が間に合っていない。

なぜハイパーバイザーへの攻撃が危険なのか

 2023年にはESXiに対する攻撃が激化し、2023年2月にはESXiのインスタンスを標的とした新しいランサムウェア攻撃が始まった。

 脅威インテリジェンスソフトウェアを提供するRecorded Futureが2023年2月13日に公開した調査結果によれば、ESXiを狙ったランサムウェアによるサイバー攻撃は2020年にはわずか2件だった(注1)。だが、2021年には400件以上のインシデントが確認された。2023年には攻撃が急増し、2022年の約3倍に当たる1118件に達した。

 攻撃に使われたランサムウェアのペイロードは、ALPHVやLockBit、BlackBastaなど複数のグループから提供されていた。

 調査から分かることは、VMware ESXiを使用する企業はランサムウェア攻撃のリスクを把握し、備えなければならないということだ。

 VMwareはRecorded Futureの調査に対するコメントを拒否する一方で、現在知られている脆弱(ぜいじゃく)性に対処するために、コンポーネントを最新リリースにアップグレードするよう企業にアドバイスした。

ESXiArgsの追撃が始まる

 状況は悪くなる一方だ。ESXiArgsランサムウェアの攻撃が新たに加わったからだ。このランサムウェアはESXiサーバにある特定の設定ファイルを暗号化し、仮想マシンを使用不能にする。

 2023年2月にESXiArgsが比較的単純な方法で数千台のマシンにランサムウェアを拡散し始めたため(注2、注3)、ハイパーバイザーに影響を与えるランサムウェアの脅威が大きな関心を集めた。

 2023年2月8日にはESXiArgsランサムウェアの新しい亜種が登場して(注4)、1250台以上のESXi搭載サーバに感染した。感染したサーバの8割以上は、亜種が登場する前に一度感染し、亜種登場後に再感染したものだった。

 マルウェアがわずかに修正されたことで、さらに効果的にデータを暗号化できるようになり、データ復旧が妨げられた。

 Recorded Futureのリンジー・ケイ氏(シニアリサーチディレクター、調査レポートのリードアナリスト)は「ESXiArgs登場前までは一般的で仮定のこととしてマルウェアを語っていたが、ESXiArgsの登場で話が変わってしまった」と述べた。

なぜESXiが狙われるのか

 ESXiに対するランサムウェアの活動が活発化している背景には、さまざまな要因があるとケイ氏は語る。

仮想化によって脆弱性が増えているが、ESXiはWindowsなどのように保護機能や防御機能が充実していない
Windows向けのウイルス対策ソフトウェアやエンドポイント検知ツール、同対応ツールは豊富にあるが、ESXiなどのハイパーバイザー向けには「初期段階」以上の製品はあまりない
ESXiの脅威探索コマンドは、一般的なシステム管理者の操作と類似しており、正常な行為と悪意のある行為の境界線が曖昧(あいまい)だ

企業には痛手となる

 このランサムウェア攻撃は企業にとってESXiが果たす役割のためにより深刻なものになる。なぜなら重要な機能を維持するためにESXi搭載サーバを常時稼働させる必要があるからだ。一般にアップデートやパッチを適用すると不具合が生じることがあるため、企業がこれらの更新適用をためらうことがある。こうなると攻撃に対抗できない。

 VMware製品では重大な脆弱性が繰り返し発生している(注5)。Recorded Futureの脅威研究グループは、過去6カ月間にVMware製品に影響を与えた高リスクの脆弱性を7つ挙げた。

 攻撃者は対象にアクセスする際、最初に脆弱性を悪用することが多い。多くの攻撃者はシステム管理者のメモや保存されたパスワード、キーロギングをだけを使って一部のESXi利用環境にアクセスしているとRecorded Futureは報告書に記した。

 「仮想化インフラストラクチャのセキュリティ対策は複雑だ。なぜなら技術に独自性があり、仮想化インフラストラクチャのために設計された防御用の製品が比較的未熟だからだ。この結果、ESXiは金銭的動機のある攻撃者にとって非常に魅力的なターゲットになった」と報告書に記されている。

出典:VMware ransomware was on the rise leading up to ESXiArgs spree, research finds(Cybersecurity Dive)

注1:In Before The Lock: ESXi

注2:Ransomware attack spree hits thousands of VMware servers(Cybersecurity Dive)

注3:Unsophisticated ransomware campaign targeting VMware ripe for copycats(Cybersecurity Dive)

注4:VMware ransomware evolves to evade data recovery, reinfects servers(Cybersecurity Dive)

注5:Persistent vulnerabilities put VMware on the defense(Cybersecurity Dive)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。