コンテンツ提供:SB C&S株式会社
ランサムウェアは企業や組織に甚大な被害をもたらしています。この悪質な攻撃から仮想環境を守るためには、ネットワークに侵入した攻撃者のラテラルムーブメントによる“拡散”を防止するとともに、仮想環境に発覚した脆弱性の迅速な解消が欠かせません。そこでの重要ポイントとなるVMware Carbon Black Cloud Workloadの導入と、VMware vSphereバージョンのアップデートについて、SB C&S株式会社の大塚 正之 氏が解説します。
SB C&S株式会社
エバンジェリスト
大塚 正之 氏
目次
- ランサムウェアの対応はクライアントだけでなくサーバにも必須
- VMware ESXiを狙うランサムウェアへの対策
- 早期のVMware vSphere 8へのアップデートを推奨
- まとめ -今こそ最新のvSphere8へ―
- さらに詳しく
ランサムウェアの対応はクライアントだけでなくサーバにも必須
攻撃のラテラルムーブメントをいかに防ぐか
企業や病院、公共機関などのシステムに多くの被害をもたらしているランサムウェア。この対策で困難なのは、組織内のネットワークに侵入した攻撃者がラテラルムーブメントによる“拡散”を行い、他のリソースへの侵入範囲を広げていくことです。
エンドユーザーが利用しているクライアント端末やVPN機器などを踏み台としてネットワークに侵入した攻撃者が、隣接する機器やサーバの脆弱性を調査して利用者権限や管理者権限を奪取し、侵入範囲を広げていくといったケースが目立っています。
こうして攻撃者は、最終的に到達した重要システムのデータを窃取したり、暗号化したりといった犯行に及びます。
サーバにもEDRを導入すべき
すべての脅威の侵入を未然に防ぐことは困難であり、侵入されることを前提に対策をすることが重要です。この有効な対策として注目されているのがEDR(Endpoint Detection and Response)の導入です。EDRとは住宅内に設置されている監視カメラに該当するソリューションであり、エンドポイントに侵入した攻撃の不審な振る舞いを検知し、対処や復旧につなげていきます。
ただし文字どおりのエンドポイントのみの対策では十分とは言えません。前述したようにネットワーク内に侵入した攻撃者はラテラルムーブメントを仕掛けてくるため、サーバにもEDRを入れておくことが重要です。これにより万一ランサムウェアの被害に遭った際にも効率的な調査が可能となり、迅速な業務再開に役立ちます。
裏を返せばサーバへのEDR導入を後回しにした場合、まだランサムウェアが潜伏しているかもしれないという不安を払拭することができず、いつまでたっても安全宣言を出すことができません。
VMware Carbon Black Cloud Workloadであれば対策が必要な脆弱性もわかる
そこでお勧めするのが「VMware Carbon Black Cloud Workload」です。仮想環境で実行されているサーバを含めたワークロード全体を保護するデータセンター向けセキュリティ製品であり、攻撃者の挙動をログとしてクラウドに保存します。vCenter Serverと連携してEDRセンサーの入っていない(EDRで検知されない状態の)仮想マシンを検出し、万が一入っていない場合はvSphere Clientから一元的にインストールできるので、入れ忘れを防ぐことができます。
特に注目すべきなのが、脆弱性管理機能です。クラウド上に集約したワークロードの情報を脆弱性情報データベースやリスクスコアと照会することにより、OSやアプリケーションの脆弱性に対する識別、分析、優先順位付け、および修正や軽減に必要なリソースの提示を行います。これらリスクの可視化により、緊急度の高いパッチ適用を必要最小限の範囲におさえ、迅速な運用が可能となります。
VMware ESXiを狙うランサムウェアへの対策
ESXiArgsへの注意を喚起
ランサムウェア攻撃は常にシステムの最も弱い部分を突いてきます。その意味でvSphere の脆弱性の例外ではなく、狙いとされないための対策は非常に重要です。
たとえば現在、VMware ESXiが稼働するサーバを標的とした「ESXiArgs」というランサムウェアに対する注意が喚起されています。
セキュリティインシデントに関する情報提供機関であるJPCERT/CCの発表(2023年2月7日)によれば、ESXiArgsはOpenSLP(427/UDPポート)のヒープオーバーフローの脆弱性(CVE-2021-21974)を悪用した攻撃とみられており、被害を受けるとファイルが暗号化され、身代金の支払いを求めるメッセージが示されます。
特にサポート終了した古いバージョンのESXiが狙われており、外部から直接ESXi管理画⾯へアクセスできる運用が行われている場合は注意が必要です。
ESXiArgsへの対策
SLPサービスを使用していない場合は無効化する必要があります。(VMware ESXi 7.0 U2c、8.0以降ではデフォルトで無効化されています)
また、ESXi管理画⾯が意図せずに外部に公開されてないかどうかを確認し、必要に応じてアクセス制限の見直しを行います。具体的な対策については、下記のサポートサイトの情報を参考としてください。
ここで最も知っておいていただきたいのは、この脆弱性に関するセキュリティパッチはすでに2021年に提供されていることです。すなわち脆弱性が発覚した時点で素早くセキュリティパッチを適用しておけば、今回のリスクは問題なく回避できたのです。今後に向けて重要なセキュリティパッチを確実に適用するためにも、サポート対象のVMware ESXiバージョンへのアップデートを行っておくことが肝要です。
早期のVMware vSphere 8へのアップデートを推奨
VMware製品の2つのサポート フェーズ
現在使用中のVMware vSphere環境に対して、必要なセキュリティパッチがいつまで提供されるのかを把握するためには、VMware製品のライフサイクル ポリシーに基づく2つのサポート フェーズを理解しておく必要があります。
まずは正式サポートに相当する「ジェネラル サポート フェーズ」です。既存の仮想環境に対するバグ修正やパッチはもとより、新しいハードウェアに対する新規のバグ修正やセキュリティパッチも提供されます。
もう1つが、延長サポートに相当する「テクニカル ガイダンス フェーズ」です。こちらでも既存のバグ修正や既存のセキュリティパッチは提供されますが、原則として新しいハードウェアは対象外となり、新規のバグ修正やセキュリティパッチは提供されないので注意が必要です。既存の仮想化基盤に問題が生じてハードウェア交換が必要となった際に同じ機種が入手できなかった場合、サポートを受けることができず、仮想環境が脆弱性を抱えたままとなってしまうおそれがあります。
ESXiのパッチ提供はいつまで︖
2023年6月現在、すでにESXi 6.0までのバージョンはテクニカル ガイダンスが終了しています。ESXi 6.5とESXi 6.7についても、2023年11月15日にテクニカル ガイダンスの終了を予定しています。
そしてESXi 7.0についても、ジェネラル サポート終了(2025年4月2日)までに残された猶予はあと2年弱となりました。
まとめ -今こそ最新のvSphere8へ―
ランサムウェアなどのサイバー攻撃から仮想環境を守るためには、「VMware Carbon Black Cloud Workloadの導入」に加えて、「迅速なセキュリティパッチの適用による脆弱性の解消」が対策の2本柱となります。
特に今後のハードウェア増強や故障対応を考慮した場合、利⽤中のvSphere環境との互換性の確認が必須であり、最新バージョンへのアップデートは避けて通れません。テクニカル ガイダンスの終了が近づいたvSphereをご利用中のお客様、またはシステム再構築のタイミングを迎ええたお客様は、サブスクリプションモデルにも対応した最新のvSphere 8へのアップデートを強くお勧めします。
本記事についてさらに詳しい情報は、次のセミナーにご参加ください。
vSphereの今後についての最新情報をお届けするセミナーが、全国5カ所にて開催決定
vSphereマイグレーションセミナー
-仮想化基盤のセキュリティ対策と最新トレンド-
vSphere 8へのアップデートやセキュリティ強化に関しては、いくつか注意すべきポイントがあります。詳しくはセミナーでお話しいたします。また直接のご質問もぜひお寄せください。
- 広島:7/5(水)
- 福岡:7/7(金)
- 札幌:7/12(水)
- 名古屋:7/26(水)
- 大阪:7/28(金)
※SB C&S株式会社が運営するWebサイト「VMware ソリューション」のセミナー申し込みページに移動します