まだまだ続くVMwareの脆弱性【セキュリティ注目トピック】

仮想化環境「VMware」を利用する企業は対応が必要だ。5つの製品が危険な脆弱性を抱えているからだ。

[畑陽一郎，キーマンズネット]

　2024年3月3日を含む前後の週では、VMware製品の脆弱（ぜいじゃく）性やNTTコミュニケーションズに対するサイバー攻撃が注目を集めた。

VMwareがサイバー攻撃の入り口に

　VMware関連の脆弱性では5つの製品が対象になっており、影響を受けるユーザーが少なくないだろう。

　この他のセキュリティ注目トピックはIIJが発表した2025年1月のDDoS攻撃の観測情報や、クレジット取引セキュリティ対策協議会が発表したガイドラインだ。

---

●2025年2月27日

　IIJは2025年1月に発生したDDoS攻撃の観測情報を発表した。IIJサービスやバックボーンなどで同社が対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出したものだ。2025年1月のDDoS攻撃の総攻撃検出件数は329件で、2024年12月（219件）の約1.5倍だ。2025年1月の1日当たりの平均件数は10.61件だった。期間中に観測された最大規模の攻撃では、最大で約245万ppsのパケットによって、21.11Gbpsの通信が発生した。この攻撃は主にTCP PSH/ACK Floodによるものだったという。最も長く継続した攻撃は7時間に及び、最大で13.03Gbpsの通信が発生した。この攻撃はUDP Floodによるものだったという。

　なお同社は不正アクセス通信についても調査しており、対象期間で最も多く検出したのは、「Microsoft Windows Internet Connection Sharing Denial of Service」（全体の15.33％）だった。「WindowsのInternet Connection Sharing」サービスの不備からDoS攻撃に悪用できる特徴を持った通信を検出した。2番目に多く検出したのは「Realtek Jungle SDK Command Injection Vulnerability」（共通脆弱性識別子《（CVE：common vulnerabilities and exposures》はCVE-2021-35394）で、全体の13.06％を占めたという。

---

●2025年3月3日

　Android Open Source Projectは2025年3月のセキュリティアップデートを発表した。セキュリティアップデートは2種類あり、「2025-03-01」はフレームワーク（9件）やシステム（21件）、「Google Play」で見つかった脆弱性（1件）に対応した。システムで見つかった「CVE-2025-0074」など10件は重大な脆弱性（critical）だ。「2025-03-05」はカーネルに関する脆弱性（3件）やMediaTekコンポーネント（2件）、Qualcommコンポーネント（5件）、Qualcommクローズドソースコンポーネント（3件）で見つかった脆弱性に対応した。

---

●2025年3月4日

　BroadcomはVMwareブランド製品のセキュリティアドバイザリ（VMSA-2025-0004）を発表した。「VMware ESXi」「VMware Workstation Proと同Player」「VMware Fusion」「VMware Cloud Foundation」「VMware Telco Cloud Platform」の5製品が対象だ。脆弱性は3つある。Broadcomは3つの脆弱性が実際に悪用されたことを確認したという。

　「CVE-2025-22224」は5製品全てに影響があり、任意のメモリへの書き込みが可能になる脆弱性だ。ローカル管理者権限を持つ攻撃者が仮想マシンのVMXプロセスとしてコードを実行できる。攻撃手法はTOCTOU（Time-of-Check Time-of-Use）を用いてヒープオーバーフローを起こすことだ。共通脆弱性識別子（CVE：common vulnerabilities and exposures）「CVSSv3.1」のベーススコアは「9.3」と高い。

　「CVE-2025-22225」は5製品のうち、VMware Workstation Pro（同Player）と同Fusion以外に影響する。サンドボックスを回避して任意の書き込みが可能となる。VMXプロセスにおける権限を悪用した攻撃だ。CVSSv3.1のベーススコアは「8.2」だ。

　「CVE-2025-22226」は5製品全てに影響があり、仮想マシンの管理者権限を持つ場合にVMXプロセスのメモリ情報を取得できる。HGFSで域外メモリを読み込みできるためだ。CVSSのベーススコアは「7.1」。

　クレジット取引セキュリティ対策協議会は「クレジットカード・セキュリティガイドライン【6.0版】」を発表した。電子商取引（EC）加盟店に対しては、クレジットカード情報保護対策としてシステムやWebサイトの脆弱性対策を実施することを求めた。さらに不正利用対策としてクレジットカード番号と有効期限の組み合わせだけで決済するのではなく、カード利用者のIPアドレスやOS、アクセス地域、時間、住所などを用いたリスクベース認証を取り入れる。低リスクのカード利用者に対しては追加認証を不要とし、中リスクではID、パスワードなどの追加認証を要求し、高リスクでは決済を不承認とする「EMV-3Dセキュア」を導入する。不正利用の発生状況に応じて適切な不正利用対策を追加導入する。

　カード会社とペイメントサービスプロバイダー（PSP）に対してはEC加盟店に対して、脆弱性対策などのクレジットカード情報保護対策、EMV-3Dセキュアの導入、適切な不正ログイン対策、不正利用対策の導入と運用に関して必要な助言や情報提供を実行するように求めた。

---

●2024年3月5日

　NTTコミュニケーションズは不正アクセスによる情報流出の可能性について発表した。法人顧客1万7891社について、契約番号や顧客名（契約名）、顧客の担当者名、電話番号、メールアドレス、住所、サービスの利用に関係する情報が対象だ。NTTドコモが提供する法人名義のスマートフォンや携帯電話の契約、個人向けサービスの情報は対象に含まれていない。

　同社は不正アクセスを発見した経緯を公開している。まず、2025年2月5日に同社の情報セキュリティ部が社内ネットワークに接続された「オーダ情報流通システム」内の装置Aに対する通信で不審なログを検知した（図）。オーダ情報流通システムはサービスの開通や変更に関わる情報を管理、流通するものだ。装置Aと周辺システムへの通信ログを解析した結果、オーダ情報流通システムから一部の情報が流出した可能性があることを2月6日に確認した。2月15日には社内ネットワークにある装置Bに不正アクセスがあったことを特定し、同日、装置Bを社内ネットワークから遮断した。

発生した事象の概要（提供：NTTコミュニケーションズ）