VMware ESXiを狙う高度なエスケープ攻撃を解明 中国系脅威アクターの関与が浮上：セキュリティニュースアラート

HuntressはVMware ESXiへの高度なエスケープ攻撃を分析した。VPN認証情報の侵害からドメインを掌握後、公表1年前から準備されたゼロデイ攻撃でバックドアを設置する手法が判明した。パッチ適用とホスト監視の重要性を強調している。

[ITmedia エンタープライズ編集部]

　Huntressは2026年1月7日（現地時間）、「VMware ESXi」（以下、ESXi）を標的とした仮想マシンエスケープ攻撃についての調査結果を公表した。2025年12月に確認された侵入事案の中で、ESXiの脆弱（ぜいじゃく）性を悪用する高度な攻撃が実際の環境で使用されていたという。

侵入口はVPN認証情報の侵害　中国系脅威アクターが関与か？

　調査の結果、攻撃者は最初の侵入経路としてSonicWall製VPN機器を利用した可能性が高いと判断されている。攻撃に使われた端末名や戦術、技術、手順などの指標から、侵入がVPN経由によるものと評価された。仮想マシンエスケープという高度な手法が使われたが、侵入口自体は既存のVPN認証情報の侵害であった点が特徴とされる。

　分析されたツールキットには、簡体字中国語の文字列を含む開発パスが存在し、「全版本逃逸--交付」と名付けられたフォルダも確認された。この名称は「All version escape - delivery（全バージョン対応のエスケープ―提供物）」と訳される。ツールの開発時期を示す痕跡から、VMwareが脆弱性を公表する1年以上前にゼロデイとして構築されていた可能性が示唆されている。Huntressはこれらの点から十分な資源を有する開発者が中国語圏で活動していた可能性があると指摘している。

　今回の侵入においては、侵害されたドメイン管理者アカウントを使い、バックアップ用および主要なドメインコントローラーへの横展開が実行された。調査中、攻撃者はネットワーク探索ツールや共有フォルダ列挙ツールを実行し、取得した情報を基にESXiエクスプロイトツールキットを展開した。その後、「Windows」ファイアウォールの設定を変更し、外部通信を遮断しつつ内部ネットワーク内での活動を維持する挙動も確認されている。

　Huntressによると、この攻撃は最終的にESXiハイパーバイザーにバックドアを設置する段階まで進行していたという。ESXiの性質上、攻撃が継続していればランサムウェア被害に発展した可能性もある。

　悪用された可能性のある脆弱性として、VMwareが2025年3月に公開したセキュリティアドバイザリーVMSA-2025-0004で修正された3件のCVE（CVE-2025-22226：CVSS 7.1、CVE-2025-22224：CVSS 9.3、CVE-2025-22225：CVSS 8.2）が挙げられている。これらは「HGFS」の情報漏えい、VMCIにおけるメモリ破損、VMXサンドボックスからの脱出に関連するもので、いずれも実環境での悪用が確認されている。

　Huntressは、仮想環境の分離が絶対的なものではない点や、VSOCK通信が従来のネットワーク監視では把握しにくい点を指摘した上で、ESXiの迅速なパッチ適用や、ホスト上のプロセス監視の必要性を強調している。特にサポートが終了したESXiバージョンを使用している環境では修正が提供されないため、リスクが残るとして注意を促した。