ハッキング大会でVMwareの脆弱性が露呈　ESXiでは“初の侵害報告”も：永久ライセンスユーザーに広がる不安

企業の仮想化インフラの中核を担うVMware製品に関して、ハッキングコンテストで攻撃が成功した他、複数の脆弱性が報告された。Broadcomによるサポート方針の転換も重なり、企業ユーザーの間では不安の声が高まる。

≫ 2025年07月14日 07時15分公開

　VMwareの仮想化製品群を手掛けるBroadcomのセキュリティチームは、2025年5月にベルリンで開催されたハッキングコンテスト「Pwn2Own」において、VMwareのハイパーバイザー製品に対する3件の攻撃が成功したことを認めた。同月には別の脆弱（ぜいじゃく）性が明らかになっており、VMware製品の運用を続けるユーザー企業にとっての不安感が高まりつつある。

ハッキング大会で露呈したVMwareの脆弱性

併せて読みたいお薦め記事

VMwareの脆弱性問題

　Pwn2Ownでは、セキュリティサービス企業Star Labsに所属するセキュリティ研究者グエン・ホアン・タック氏が、VMwareのハイパーバイザー「VMware ESXi」の攻撃に成功した。「Pwn2Ownの歴史において、VMware ESXiが実際に侵害されたのは今回が初めてだ」と、BroadcomのVMware Cloud Foundation部門の製品セキュリティおよびインシデント対応チームのプラビーン・シン氏とモンティ・アイゼルマン氏は、公式Webサイトで述べた。

　セキュリティメディア「Cybersecurity Boardroom」を運営するボブ・カーバー氏は、「2007年に始まるPwn2Ownの歴史の中で、ハイパーバイザーの攻撃に成功したのは今回が初めてだ」と説明する。ハッカーは単一の整数オーバーフロー攻撃を成功させることができた。整数オーバーフローとは、コンピュータが扱える最大値を超える整数を与えることで発生する脆弱性だ。

　攻撃的セキュリティ企業REverse Tacticsの最高技術責任者（CTO）であるコランタン・バイエ氏も、2つの脆弱性を連鎖させることによってVMware ESXiを侵害した。シン氏とアイゼルマン氏によれば、このうち1件の脆弱性は既知のものだった。同日には、セキュリティサービス企業Synacktivに所属するセキュリティ専門家トマ・ブゼラール氏とエティエンヌ・エリュイ・ラフォン氏が、VMwareの仮想化ソフトウェア「VMware Workstation」の攻撃に成功している。

　2025年5月には、クラウドサービス一元管理ツール「VMware Aria Automation」に影響を与える脆弱性「CVE-2025-22249」が発表された。ベルギーのサイバーセキュリティ機関Centre for Cybersecurity Belgiumはこの脆弱性について、VMware製品の管理者が悪意のあるURLリンクをクリックするといったフィッシング攻撃を通じて、悪用される可能性があると警告している。

　同機関の説明によると、VMware Aria Automationにログインした状態で悪意あるリンクをクリックすると、攻撃者がそのアカウントを完全に制御できるようになり、そのユーザーが持つ全ての権限を行使できてしまう。VMwareユーザーには直ちにパッチ（修正プログラム）を適用するよう呼び掛けた。

　Broadcomは既に、VMware Aria Automationのバージョン8.18.xおよびクラウド構築用製品群「VMware Cloud Foundation」（VCF）のバージョン5.xと4.xに対してパッチを提供している。だが一時的に被害を防ぐための代替的な回避策がない場合、古いバージョンのユーザーはリスクにさらされる可能性がある。

　Broadcomは、永久ライセンスを利用しているVMwareユーザーに対し、サポート契約終了に関する通知を送付しており、一部のユーザーはパッチ適用やアップデートに関しても不透明な状況に置かれている。