“危ないESXi”を世界中で生んだランサム攻撃「ESXiArgs」 推奨の対策はこれだ：「ESXiArgs」の危険性と対策【後編】

VMwareのハイパーバイザー「ESXi」を標的にするランサムウェア攻撃「ESXiArgs」について、CISAやFBIといった米政府関連組織が具体的な対策を紹介している。その中身とは。

[Alexander Culafi，TechTarget]

　VMwareのハイパーバイザー「ESXi」を狙うランサムウェア（身代金要求型マルウェア）攻撃「ESXiArgs」の被害が広がっている。ランサムウェアのリスクを低減するために、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、幾つかの対処法を推奨する。どのような対処法なのか。

CISA推奨の「ESXiArgs」対策はこれだ

併せて読みたいお薦め記事

連載：「ESXiArgs」の危険性と対策

• 前編：VMware「ESXi」を狙った世界的ランサムウェア攻撃「ESXiArgs」とは何だったのか

さまざまなランサムウェア攻撃

• ランサムウェア犯罪者が「学校」を狙うようになった“なるほどの理由”
• セキュリティ“最後のとりで”「EDR」を無効化するWindows脆弱性　悪用の手口は

　CISAが推奨するのは、CISAのランサムウェア攻撃関連情報サイト「StopRansomware.gov」のガイダンスを採用することだ。このガイダンスに沿って多要素認証（MFA）の導入といった基本的なサイバーハイジーン（システムを安全に使うための行動）を実施し、継続的に対策を講じることで「ハッキングされるリスクを大幅に低減できる」とCISAは説明する。

　ESXiArgsの被害者に対するデータ復旧の手引きとして、CISAと米連邦捜査局（FBI：Federal Bureau of Investigation）は共同でサイバーセキュリティ勧告を発表した。この勧告は以下を提供する。

• 組織への推奨行為
  • 最新のESXiにアップデートする。
  • ESXiの「OpenSLP」ベースのコンポーネントを無効化する。
    • OpenSLPは、ネットワークにおけるサーバ探索プロトコル「SLP」（サービスロケーションプロトコル）を実装したオープンソースソフトウェア（OSS）を指す。
  • ESXiをインターネットに接続しないようにする。
• 被害の緩和策
  • 復旧プログラムの動作に関する詳細な説明を含む。

　CISAはソースコード共有サービス「GitHub」で、ESXiArgsによる被害からのVM復旧支援ツール「ESXiArgs-Recover」を公開した。ESXiArgs-Recoverは、ESXiArgsが暗号化したVM関連の環境設定ファイルを自動で再構築する。CISAは「公共および民間のパートナーと協力して、インシデントの影響を評価し、支援を提供している」と説明。「セキュリティインシデントに遭遇した組織は、直ちにCISAまたはFBIに報告してほしい」と呼び掛ける。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。