VMware「ESXi」を狙った世界的ランサムウェア攻撃「ESXiArgs」とは何だったのか：「ESXiArgs」の危険性と対策【前編】

「ESXiArgs」は、VMwareのハイパーバイザー「ESXi」を標的にするランサムウェア攻撃だ。世界中に被害を広げたESXiArgsとは、どのような攻撃だったのか。攻撃の概要と仕組みを解説する。

[Alexander Culafi，TechTarget]

　米国のサイバーセキュリティ・インフラセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は「ESXiArgs」の被害者に向けたデータ復旧プログラムを公開した。ESXiArgsは、VMwareのハイパーバイザー「ESXi」を狙った、ランサムウェア（身代金要求型マルウェア）による攻撃だ。

世界を襲った「ESXiArgs」とは何だったのか

併せて読みたいお薦め記事

さまざまなランサムウェア攻撃

• ランサムウェア犯罪者が「学校」を狙うようになった“なるほどの理由”
• セキュリティ“最後のとりで”「EDR」を無効化するWindows脆弱性　悪用の手口は

　フランス政府のサイバーセキュリティ機関CERT-FRが、ESXiArgsの被害を最初に観測した。フランス、ドイツ、イタリア、オランダ、米国といったさまざまな国々で、ESXiArgsの被害が発生している。

　攻撃者は、ESXiが備える「OpenSLP」ベースのコンポーネントの脆弱（ぜいじゃく）性「CVE-2021-21974」を悪用すると、CERT-FRはみる。OpenSLPは、ネットワークにおけるサーバ探索プロトコル「SLP」（サービスロケーションプロトコル）を実装したオープンソースソフトウェア（OSS）。VMwareはCVE-2021-21974を修正するパッチ（更新プログラム）を公開済みだ。

　CISAと米連邦捜査局（FBI：Federal Bureau of Investigation）が共同で発表したサイバーセキュリティ勧告によると、ESXiArgsはESXiの特定の環境設定ファイルを暗号化し、仮想マシン（VM）を使用不能にする可能性がある。具体的には、VMに関連する環境設定ファイルを暗号化する。

　ESXiArgsは、フラットファイル（VMの仮想ストレージのデータを保管するファイル）は暗号化しない。そのため暗号化されていないフラットファイルを基に、ESXiArgsが暗号化した環境設定ファイルを再構築可能な場合があるという。

---

　後編は、CISAが推奨するESXiArgs対策を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。