VMware製品のサポート体制が激変し、永久ライセンスユーザーは重要なパッチを容易に入手できなくなる可能性に直面している。そのような状況下でも対策の糸口はあるのか。
半導体ベンダーBroadcomが仮想化ベンダーVMwareを買収して以降、VMware製品に対するさまざまな変更と、それに伴うユーザー企業の反発が巻き起こっている。2025年5月、ITニュースサイトArs TechnicaがBroadcomのVMware製品に対する動向を報じた。Broadcomは永久ライセンスで購入されたVMware製品のサポート契約を今後更新せず、サブスクリプションライセンスに移行したユーザー企業にのみサポートサービスを継続提供する旨の通知を、複数のユーザー企業が受け取ったという内容だ。
VMware製品が広く普及している現状において、今回の問題は、安全な仮想マシン(VM)を手頃な費用でいかに維持するのかという切実な課題を企業に突き付けている。専門家はBroadcomの動きをどうみるのか。永久ライセンスを利用するVMwareユーザーが取れる対策はあるのか。
2025年5月、BroadcomはVMware製品に存在する脆弱(ぜいじゃく)性と、それらに関するセキュリティ勧告を発表した。マルチクラウド管理自動化ツール「VMware Aria Automation」の脆弱性「CVE-2025-22249」は、深刻度が「重要」の評価だ。VM
管理ツール群「VMware Tools」の脆弱性「CVE-2025-22247」は、深刻度が「警告」に分類されている。
VMware製品のサポートサービスを手掛けるRimini Streetは、これらの脆弱性を分析した。CVE-2025-22247については、VMの管理者権限を持つ攻撃者がこの脆弱性を悪用することで、ローカルファイルを改ざんし、そのVM内で安全ではないファイル操作を実行可能になる。この脆弱性を利用すると、VMware Toolsおよびそのオープンソース版「Open VM Tools」の欠陥を悪用し、VMのファイルシステムを操作できるようになるとRimini Streetは説明する。
Rimini Streetの分析によると、CVE-2025-22249は、VMware Aria Automationのクロスサイトスクリプティング(XSS)脆弱性に関するものだ。XSSは、Webサイトに悪意あるスクリプト(簡易プログラム)を埋め込んで、エンドユーザーのWebブラウザで実行させることによって、情報漏えいや不正操作を引き起こす攻撃手法を指す。
BroadcomはVMware Aria Automationのバージョン8.18系統、VMware Toolsのバージョン11系統および12系統 向けのパッチは公開したものの、一時的な回避策は提供していない。
回避策がなく、永久ライセンスでVMware製品を利用するユーザー企業がパッチを入手できない状況は、BroadcomとVMwareユーザーの間に亀裂を生じさせるだけにとどまらない。「VMwareの所有者であるBroadcomが、ユーザー企業に対してサブスクリプションライセンスへの移行を促す間接的な圧力」だと一部の業界専門家はみる。
VMware製品のサポートサービスを手掛けるSupport RevolutionのCEO、マーク・ペストーニ氏は、BroadcomがVMwareを買収して以来、価格の値上げや強制的なアップグレードの報告を耳にしてきた。ペストーニ氏は、永久ライセンスユーザーにパッチが提供されない今回の事態が、「ユーザー企業をサブスクリプションモデルに移行させるための新たな手段」のようだと感じている。「予算が厳しい企業や、アップグレードが困難な複雑で古いシステムを抱える企業にとっては、実に悩ましい問題だ」(同氏)
このような状況は、一部のVMwareユーザーを、サードパーティーのサポートおよび保守サービスに向かわせる可能性があるとペストーニ氏は主張する。製品の提供元であるBroadcomがサポートしなくなった古いバージョンのソフトウェアも、セキュリティパッチやサポートを提供してもらえるためだ。
VMware製品の脆弱性にパッチを適用する代替手段は存在する。その一例が、Rimini StreetのVMware製品向けセキュリティサービスだ。このサービスは、VMware製品で構築したVMをユーザー企業自身で更新したりアップグレードしたりする手間を削減する。Rimini Streetのセキュリティツールは、脅威インテリジェンスと行動分析に基づき、既知および未知の脆弱性の防御に重点を置いている。このアプローチは、ベンダーが提供するパッチを必要とせずに、システムを悪用から保護するという。
「戦略的なセキュリティ対策には、問題の発生を未然に防ぐ『積極的な緩和策』が不可欠であり、サードパーティーのサポートサービス事業者はその一助になる」。VMware製品のサポートサービスを手掛けるSpinnaker Supportで、サイバーセキュリティ担当バイスプレジデントを務めるクレイグ・サベージ氏はそう話す。
パッチ適用前に脆弱性の影響を調査したり、設定の不備に起因する脆弱性を調査したりすることも、サードパーティーのサポートサービス事業者の役割だ。サベージ氏によると、VMの管理コンソール「vCenter Server」を意図せずインターネットに公開してしまう設定ミスは、単一のパッチを見逃すことよりもはるかに大きな脅威だ。
「脆弱な管理用アカウントのパスワードはパッチでは修正できない。まず現状を評価し、必要な修正を実施するとともに、優れたセキュリティポリシーを運用することが必要だ」(サベージ氏)
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
