ESXi攻撃に使われた脆弱性は深刻度「低」――VMwareの判断根拠が客観的だった犯罪者が狙う「ESXi」【中編】

VMware製品に見つかった脆弱性「CVE-2023-20867」を、サイバー犯罪グループUNC3886が「ESXi」への攻撃に悪用している。こうしたCVE-2023-20867の深刻度を、VMwareが「低い」と判断したのはなぜなのか。

2023年08月24日 10時00分 公開
[Alexander CulafiTechTarget]

 VMware製品に見つかった脆弱(ぜいじゃく)性「CVE-2023-20867」は、同社のハイパーバイザー「ESXi」のセキュリティを脅かす。セキュリティベンダーMandiantによると、中国政府が支援しているとみられるサイバー犯罪グループUNC3886は、CVE-2023-20867を積極的に悪用している。一方でVMwareは、CVE-2023-20867の深刻度を“ある理由”から「Low」(低い)と判断した。

「客観的」なVMwareの判断根拠とは?

 VMwareは、同社の仮想マシン(VM)管理ツール群「VMware Tools」の脆弱性であるCVE-2023-20867に関して、セキュリティ情報「VMware Security Advisory」(VMwareセキュリティアドバイザリ)を公開した。その中で同社は、米国の共通脆弱性評価システム「Common Vulnerability Scoring System Version 3.1」(CVSS v3.1)によるCVE-2023-20867のスコアが「3.9」であることを指摘。その上で、VMwareは自社によるCVE-2023-20867の深刻度をLowだと評価した。CVSS v3.1において、スコア3.9は深刻度「Low」(注意)を意味する。

 CVE-2023-20867の深刻度評価に関する米TechTargetからの質問に対し、VMwareの広報担当者は以下のように述べた(丸かっこ内は編注)。

 当社にとって、お客さまのセキュリティは最優先事項です。当社は本日(米国時間2023年6月13日)、お客さまがCVE-2023-20867に対処するためのソフトウェアアップデートをリリースしました。この脆弱性は、攻撃者がroot権限(ほぼ全ての操作ができる管理者権限)を入手していない限り悪用することはできません。お客さまにおいては、ソフトウェアアップデートの実行とともに、当社セキュリティブログに記載されているセキュリティ対策を講じることを推奨します。

 Mandiantは、UNC3886による攻撃活動の手口を「非常に巧妙だ」と指摘する。UNC3886は米国やアジア太平洋地域を中心に、防衛やIT、通信といった分野の企業を主な標的にしているという。MandiantによるとUNC3886は以前から、さまざまなIT製品の脆弱性を悪用してきた。PCやサーバなどのエンドポイントの脅威を検知して対処する「EDR」(Endpoint Detection and Response)といったセキュリティ対策を迂回(うかい)することが目的だという。


 後編は、ランサムウェア(身代金要求型マルウェア)「ESXiArgs」を含めた、ESXiを標的にした攻撃の動向を整理する。

関連キーワード

VMware | サイバー攻撃 | マルウェア


TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news102.jpg

矢野経済研究所「2024年版 デジタルコンテンツ市場動向調査」を実施
矢野経済研究所は、国内のデジタルコンテンツ市場を調査し、市場概況や主要企業動向を明...

news100.jpg

Salesforceの「Einstein Copilot」は他社のAIアシスタントと何が違うのか?
Salesforceが対話型AIアシスタント「Einstein Copilot(β版)」を日本市場で提供開始し...

news029.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2024年6月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。