ESXi環境を狙う新たなランサムウェア攻撃を確認 SSHトンネリングを使用：セキュリティニュースアラート

Sygnia ConsultingはVMware ESXi環境を狙った新たなランサムウェア攻撃手法を報告した。攻撃者はSSHトンネリングを活用して仮想化インフラストラクチャに侵入し、大きな損害を与えている。

[後藤大地，有限会社オングス]

　Sygnia Consultingは2025年1月21日（現地時間）、「VMware ESXi」環境を狙ったランサムウェア攻撃の新たな手法について報告した。この攻撃では、SSHトンネリングを活用してステルス性を高め、セキュリティ対策を回避しながら仮想化インフラストラクチャに侵入する手法が確認されている。

SSHトンネルを使いESXi環境にランサムウェア攻撃　推奨対策は？

　VMware ESXiアプライアンスは企業の重要なサーバをホストすることから、脅威アクターにとって狙う価値のある標的となっている。攻撃者は仮想マシンのイメージを盗み出し暗号化することで業務運営を混乱させ、影響を受ける組織に多大な損害を与えている。このような攻撃の影響は業務停止にとどまらず、組織の評判をも損なう可能性がある。

　Sygnia Consultingの調査によると、攻撃者がSSHトンネリングを利用してVMware ESXiアプライアンスを永続的な侵入経路として悪用していることが分かった。具体的には管理者の資格情報を取得するか、既知の脆弱（ぜいじゃく）性を悪用してVMware ESXiの認証を回避し、SSHを使ってC2サーバとの通信を実行するトンネルを構築する。この手法によって攻撃者は正規のトラフィックに紛れ込みながらバックドアを利用し続けることが可能となる。

　また、VMware ESXiアプライアンスのログ記録メカニズムにも問題があるとされている。ログエントリーは複数の専用ログファイルに分散されており、フォレンジック調査に必要なログデータ全体が集約されてはいない。

　Sygnia Consultingは、SSHログインの有効化やファイアウォール設定の変更といった疑わしい活動に注視することを推奨している。また、効率的にフォレンジック調査を実施するためにVMware ESXi関連のログデータを外部のsyslogサーバに転送することも勧めている。VMware ESXiサーバからのライブフォレンジックデータを活用することで攻撃の早期発見が可能になるとしている。VMware ESXi環境を狙った攻撃は増加傾向にあり、脅威アクターの手法も進化を続けている。企業は仮想化環境のセキュリティを見直し、監視体制を強化することが求められる。