「VMware」に集中攻撃 FBIもお手上げのサイバー攻撃事情

VMwareのハイパーバイザー「VMware ESXi」を狙うランサムウェア攻撃が収まらない。何が問題なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　サーバに搭載された「VMware ESXi」を標的としたランサムウェア攻撃が世界的に多発し、サイバー当局や専門家を困惑させている。

攻撃者がどこから来るのか分からない

　2023年2月には新たに「ESXiArgs」ランサムウェアが登場し、さらに状況が悪化した。ESXiArgsがどのような経路で侵入するのかがまだ確認されておらず、潜在的な被害者の身元や被害の程度も不明なままだ。潜在的な被害者の身元や被害の程度も不明なままだ。

　研究者によると、ESXiArgsの活動の大部分は2023年2月3〜11日に始まった。

　Censysが2023年2月15日に発表した調査結果によると、同2月11日には500台以上のホストがESXiArgsに感染した。フランスやドイツ、オランダ、英国のサーバが狙われた（注1）。

　また、アタックサーフェスの研究者によれば「2022年10月中旬にさかのぼり、驚くほど似た身代金要求書を出力する2台のホストを発見した」という。CensysはESXiArgsの新しい亜種が検出された国やホストを図示するダッシュボードを構築した（注2）。

　最初の攻撃が始まってからまだ時間がたっていないものの、ESXiArgsについてこれまでに判明したことは幾つかある。

増え続ける被害

　フランスに拠点を置くサイバーセキュリティ企業Onypheのパトリス・オフレ氏（創業者、CTO《最高技術責任者》兼CEO）によると、攻撃の第一波は2023年2月3日に始まり（注3）、24時間以内に約2000台のサーバが危険にさらされた。

　「ESXiArgsはVMwareのセキュリティ勧告によって対処済だ。情報が開示されていた既知の脆弱（ぜいじゃく）性を活用し、一般サポートが終了した製品または著しく古い製品をターゲットにしているようだ」（VMwareの広報担当者）

　VMwareのセキュリティレスポンスセンターは2023年2月6日に顧客向けのガイダンスを発表した（注4）。未知の脆弱性やゼロデイ脆弱性が、ESXiArgs攻撃に利用されている証拠はないと同社は主張した。

　攻撃は少なくとも3800のIPアドレスを標的としており、欧州やカナダ、アジア、米国など複数の国にまたがる少なくとも2250台のサーバを侵害した。身代金の支払いは4件あり、オープンソースのランサムウェア支払トラッカー「Ransomwhere」によって、合計して8万8000ドル相当分が追跡された（注5）。

変種はどうなっている

　対応と復旧作業が進むにつれ、ESXiArgsにも新しい亜種が出現した（注6）。Censysによると、現在までに2100台以上のサーバに感染したという。

　少し手を加えられた亜種は、「異なる暗号化ルーチンでより効果的にデータを暗号化する」（Emsisoftのブレット・キャロウ氏《脅威アナリスト》）

政府の対応は早かったが効果は薄い

　フランスのサイバー当局は2023年2月3日に最初の警報を発した（注7）。ランサムウェア攻撃と、約2年前に発見されパッチが適用されたVMware製品の既知の脆弱性との関連性を示す勧告を含んでいる。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、一部の被害者は身代金を支払うことなく、最初の攻撃によって侵害されたデータを回復できた。

　CISAとFBIは現在進行中のランサムウェアキャンペーンに対応して、ガイダンスを含む共同アドバイザリーを発行し（注8）、ESXiArgs向けの回復スクリプトをGitHubで公開した（注9）。

　しかし、複数の脅威研究者やアナリストによると、ESXiArgsの新しい亜種はコードがわずかに変更されており、この回復スクリプトはほとんど効果を発揮しなかった。

　「より多くのデータを暗号化する新しいESXiArgsの亜種をわれわれは認識している。新しい情報が入り次第、アドバイザリーを更新する」（CISAのジェン・イースターリー氏《ディレクタ》、注10）

EXSiArgsに悩まされる専門家

　初期の段階では未確認だが、攻撃者はVMwareのOpenSLPサービスの既知のヒープオーバーフロー脆弱性（CVE-2021-21974）を悪用して初期アクセスした後（注11）、攻撃を開始したという推測がある。フランスのコンピュータ緊急対応チームは勧告の中で、このような関連性を最初に指摘した。

　初期アクセス経路に関する調査は現在も続いている。だが、もっと問題なのはVMware製品の重大な脆弱性が繰り返し発生していることだ（注12）。

　Recorded Futureが発表した調査によると、VMware ESXiインスタンスを標的としたランサムウェアの活動は、ESXiArgsが発生する以前から増加傾向にあった（注13）。

　2020年にランサムウェアでESXiを狙ったサイバー攻撃はわずか2件だったが、2021年にはRecorded Futureが400件以上のインシデントを確認した。2022年には数が膨れ上がり、2023年には2022年の約3倍の1118件に増加したことが調査から判明した。

奇妙な性質を帯びた攻撃

　複数の脅威研究者やアナリストは一連のランサムウェア攻撃について、当初は潜在的な被害者の数が増えていたものの、洗練されていないものであると述べていた。被害者の特定や名乗り出はまだ進んでいない。

　Sophosのチェスター・ウィスニーウスキー氏（応用研究部門フィールドCTO）によると、ランサムウェア攻撃は通常、一度に1つずつ発生する。数日のうちに約4000件のサーバを襲うような大規模なものではない。

　「全てが非常に奇妙だが（注14）、私は間違いなくこれを深刻なアマチュアのカテゴリーに分類するだろう」（ウィスニーウスキー氏）

　ランサムウェアが大量に配布され、身代金の要求額が比較的低く、カスタマイズされていないことから、脅威の主体は高度な自動化を利用していることが分かる。

　逆に言えばダークWebなどからランサムウェア攻撃キットを調達したアマチュアであっても、これほどの被害をもたらすということだ。攻撃対象をよく研究したプロの攻撃者であれば対処はさらに難しくなるだろう。

出典：What’s known about the ESXiArgs ransomware hitting VMware servers（Cybersecurity Dive）

注1：The Evolution of ESXiArgs Ransomware

注2：ESXiArgs Ransomware Infections

注3：Ransomware attack spree hits thousands of VMware servers（Cybersecurity Dive）

注4：VMware Security Response Center (vSRC) Response to ‘ESXiArgs’ Ransomware Attacks

注5：Ransomwhere

注6：VMware ransomware evolves to evade data recovery, reinfects servers（Cybersecurity Dive）

注7：BULLETIN D'ALERTE DU CERT-FR

注8：ESXiArgs Ransomware Virtual Machine Recovery Guidance

注9：cisagov/ESXiArgs-Recover

注10：Jen Easterly

注11：CVE-2021-21974 Detail

注12：Persistent vulnerabilities put VMware on the defense（Cybersecurity Dive）

注13：VMware ransomware was on the rise leading up to ESXiArgs spree, research finds（Cybersecurity Dive）

注14：Unsophisticated ransomware campaign targeting VMware ripe for copycats（Cybersecurity Dive）