「VMware ESXi」に永続的にアクセスするマルウェアを確認 緩和策の適用を

「VMware vSphere」を標的とした新しいマルウェアの亜種が発見された。悪用されると、VMware ESXiへの永続的なアクセスを確立されるので注意が必要だ。VMwareが公開した情報を確認し、緩和策の適用を検討してほしい。

[後藤大地，有限会社オングス]

　VMwareは9月29日（米国現地時間）、VMware vSphereを標的とするマルウェアの新しい亜種の出現を伝えた。Mandiantが発見し、「VirtualPITA（ESXi & Linux）」「VirtualPIE（ESXi）」「VirtualGATE（Windows）」という名称が付けられた。

　Mandiantからの報告を受けてVMwareは、マルウェアの検出や緩和策の適用方法、運用におけるセキュリティ、安全な設定方法、多重防御を強化するための予防手法などについて説明した。

　VMware製品を利用するユーザーは、VMwareが公開した情報を関連情報の有無も含めて確認し、該当製品があれば緩和策の適用を検討してほしい。なおMandiantは、調査中に脆弱（ぜいじゃく）性が悪用されVMware ESXiにアクセスされた証拠はまだ見つかっていないと説明している。

Protecting vSphere From Specialized Malware（出典：VMwareのWebサイト）

大規模犯罪グループの継続的な攻撃の兆候か？

　今回発見されたマルウェアには持続的かつ隠蔽（いんぺい）的という特徴がある。これは持続的標的型攻撃（APT: Advanced Persistent Threat）グループや大規模なサイバーセキュリティ犯罪グループなどが、戦略的機関を標的として検出を回避して潜伏することを意図して行動するパターンと一致する。

　VMwareが公開した対処方法は多岐にわたる。ユーザーの環境ごとに有効な対策が異なるためだ。認証と認可を慎重に管理して組織内のアクセス制御を実施しつつ、環境を最新状態に保つことが、攻撃者にとって厳しい状況を作り出すことにつながるとVMwareは指摘する。

　今回のセキュリティ情報および関連する情報は次のページにまとまっている。

• Protecting vSphere From Specialized Malware | VMware
• Mitigation and Threat Hunting Guidance for Unsigned vSphere Installation Bundles（VIBs） in ESXi（89619）
• VMware vSphere Security Configuration Guide | VMware