VMware「ESXi」を狙った世界的ランサムウェア攻撃「ESXiArgs」とは何だったのか「ESXiArgs」の危険性と対策【前編】

「ESXiArgs」は、VMwareのハイパーバイザー「ESXi」を標的にするランサムウェア攻撃だ。世界中に被害を広げたESXiArgsとは、どのような攻撃だったのか。攻撃の概要と仕組みを解説する。

2023年03月15日 10時00分 公開
[Alexander CulafiTechTarget]

 米国のサイバーセキュリティ・インフラセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は「ESXiArgs」の被害者に向けたデータ復旧プログラムを公開した。ESXiArgsは、VMwareのハイパーバイザー「ESXi」を狙った、ランサムウェア(身代金要求型マルウェア)による攻撃だ。

世界を襲った「ESXiArgs」とは何だったのか

 フランス政府のサイバーセキュリティ機関CERT-FRが、ESXiArgsの被害を最初に観測した。フランス、ドイツ、イタリア、オランダ、米国といったさまざまな国々で、ESXiArgsの被害が発生している。

 攻撃者は、ESXiが備える「OpenSLP」ベースのコンポーネントの脆弱(ぜいじゃく)性「CVE-2021-21974」を悪用すると、CERT-FRはみる。OpenSLPは、ネットワークにおけるサーバ探索プロトコル「SLP」(サービスロケーションプロトコル)を実装したオープンソースソフトウェア(OSS)。VMwareはCVE-2021-21974を修正するパッチ(更新プログラム)を公開済みだ。

 CISAと米連邦捜査局(FBI:Federal Bureau of Investigation)が共同で発表したサイバーセキュリティ勧告によると、ESXiArgsはESXiの特定の環境設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。具体的には、VMに関連する環境設定ファイルを暗号化する。

 ESXiArgsは、フラットファイル(VMの仮想ストレージのデータを保管するファイル)は暗号化しない。そのため暗号化されていないフラットファイルを基に、ESXiArgsが暗号化した環境設定ファイルを再構築可能な場合があるという。


 後編は、CISAが推奨するESXiArgs対策を紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news018.jpg

Cookie廃止で広告主とデータプロバイダ、媒体社にこれから起きることとその対策
連載の最後に、サードパーティーCookie廃止が広告主と媒体社それぞれに与える影響と今後...

news100.jpg

メタバース生活者定点調査2023 メタバース利用経験は横ばいでも認知は向上
博報堂DYホールディングスによる「メタバース生活者定点調査2023」の結果です。メタバー...

news165.jpg

GoogleのBIツールからLINEにノーコードでデータ連携 primeNumberが「trocco action for Looker」を提供
primeNumberが「trocco action」の提供を開始。第一弾としてGoogleのBIツール「Looker」...