vSphereを狙う高度なソーシャルエンジニアリングに注意 Googleの推奨対策：セキュリティニュースアラート

Googleは、VMware vSphere環境を標的とした高度なソーシャルエンジニアリング攻撃を確認した。この攻撃は最近活発化している脅威アクター「Scattered Spider」によるものとされており、他の攻撃グループにも手法が波及する可能性があるという。

[後藤大地，有限会社オングス]

　Googleは2025年7月24日（現地時間）、「VMware vSphere」（以下、vSphere）環境を標的とした高度なサイバー攻撃に関する分析を公開した。同社のThreat Intelligence Group（GTIG）が2025年中頃に検出した一連の攻撃活動について詳細を明らかにした。

vSphereを狙う高度なソーシャルエンジニアリングに注意　Googleの推奨対策

　この攻撃は金銭目的で活動する脅威アクター「Scattered Spider」によるものとされている。Scattered Spiderは小売や航空、保険業界など多岐にわたる業界に対して高度なソーシャルエンジニアリング攻撃を仕掛けるグループで、近年注目されている脅威アクターだ。どのような手法を駆使しているのだろうか。

　今回の攻撃ではソフトウェアの脆弱（ぜいじゃく）性を突くのではなく、ITヘルプデスクへの電話を起点としたソーシャルエンジニアリング手法が多用されていたことが確認されている。攻撃者は、従業員になりすましてヘルプデスクに連絡を取り、「Active Directory」のパスワードリセットを誘導。その後、取得した権限を利用してvSphere中核の「VMware vCenter Server」（以下、vCenter）や「VMware ESXi」（以下、ESXi）ホストへと侵入を拡大させていた。

　攻撃の過程ではActive Directoryの管理者アカウントを掌握し、vCenterの管理権限を取得。仮想アプライアンス「vCenter Server Appliance」（vCSA）を再起動してブートローダーを書き換え、rootシェルへのアクセスを得たとされる。加えて、ESXiホストに対しSSHアクセスを有効化し、仮想マシンのディスクを操作。最終的には、Domain Controllerの仮想ディスクを不正に複製し、内部情報の窃取やランサムウェアを実行していた。

　同攻撃はエンドポイント型のセキュリティ製品では検出困難なレイヤーで活動している点に大きな特徴がある。一例としてESXiホストにおける攻撃操作は、通常のEDR（Endpoint Detection and Response）製品では可視化できない。また仮想マシンのディスクをオフライン状態で操作することで、内部セキュリティエージェントによる検知を完全に回避していた。

　Googleは今回の攻撃に次のような対策を推奨している。

• 電話によるパスワードリセットの禁止：　特権アカウントに対しては、対面または高保証の本人確認を必須とする
• vCenterへの多要素認証（MFA）導入：　特にフィッシング耐性のあるMFA（FIDO2/WebAuthn）を導入する
• vSphere VM暗号化の実施：　仮想ディスクの暗号化により、オフラインでの情報窃取を防止する
• ESXiのrootアカウント無効化：　代替となる「break glass」アカウントの利用を推奨している
• ログの集中収集と相関分析：　vCenterやESXi、Active Directory、ネットワーク機器、バックアップソリューションなどのログをSIEMで統合管理する

　Mandiantは、今回の手法が他の攻撃グループにも拡散していることに強い警戒を示しており、仮想化環境に依存する企業に対し、今すぐにでもインフラレベルの防御態勢を見直すように促している。