VMware ESXiを狙ったRaaSが増加中 攻撃を回避するには？

CrowdStrikeはハイパーバイザーVMware ESXiを標的にしたランサムウェア・アズ・ア・サービス（RaaS）が増加していると指摘した。今後もこの傾向は続くと予測されている。

[後藤大地，有限会社オングス]

　CrowdStrikeは2023年5月15日（現地時間）、ハイパーバイザー「VMware ESXi」を標的にした「Ransomeware as a Service」（RaaS）が増加傾向にあると報じた。

　VMware ESXiはベアメタルで動作するエンタープライズ向けのハイパーバイザー型仮想化ソフトウェアだ。直接ハードウェアにインストールして使用するため、ホストを介するタイプのハイパーバイザーより性能が期待できる。

CrowdStrikeはVMware ESXiを標的にしたランサムウェア・アズ・ア・サービスが増加傾向にあると報じた（出典：CrowdStrikeのWebサイト）

VMware ESXiを狙ったRaaS　攻撃を回避するには？

　CrowdStrikeは、サイバー攻撃者がVMware ESXiを狙う理由として以下の2つを挙げている。

• ウイルス対策ソフトウェアがサポートされていない。VMwareはVMware ESXiにはウイルス対策ソフトウェアの必要はなく、そういったソフトウェアの使用はサポートされていないと説明している。そのため、これが脆弱（ぜいじゃく）性の悪用といった現状の一端になっている
• VMware ESXiインタフェースに適切なネットワークセグメンテーションが存在しない

　RaaSの増加は脆弱性が放置されたVMware ESXiが存在しており、そしてそれを狙ったサイバー攻撃が効果を上げていることを意味している。CrowdStrikeはこうしたハイパーバイザージャックポット攻撃の影響を回避または軽減する方法として、以下を推奨している。

• VMware ESXiホストには直接アクセスしない。管理はvSphereクライアントを使って「VMware vCenter Server」によって管理されているESXiホストに対して実施する
• VMware ESXiホストへの直接アクセスが必要な場合は、多要素認証（MFA）を備えた強力なジャンプサーバを使用する
• VMware vCenter ServerがSSHおよびHTTP経由でインターネットに公開されていないことを確認する
• VMware ESXiデータストアボリュームが定期的にバックアップされていることを確認する
• 暗号化が進行中であることが疑われ、かつ悪意あるプロセスを強制終了することが難しい場合にはストレージをESXiホストから物理的に切断するか、ESXiホストの電源を落とすことも検討する

　CrowdStrikeは今後も高い確率でこの傾向が続くと予測し、セキュリティ更新プログラムの定期的な適用やセキュリティ体制のレビューが重要だと指摘している。