VMware「ESXi」はこうして攻撃される――専門家が明かす「手口」と「防御策」：「ESXiArgs」再燃 ESXi防御策は【後編】

「ESXi」を狙ったランサムウェア攻撃に対抗するには、どうすればいいのか。まずは攻撃の手口を知ることが重要だ。どのようなものなのか。

[Arielle Waldman，TechTarget]

　ランサムウェア（身代金要求型マルウェア）「ESXiArgs」を使った攻撃は、いまだに続いている。ESXiArgsは、VMwareのハイパーバイザー「ESXi」を狙うランサムウェアだ。攻撃者はどのような手口を使っているのか。

ESXiへの攻撃は“あの情報”の入手から

併せて読みたいお薦め記事

連載：「ESXiArgs」再燃　ESXi防御策は

• 前編：VMware「ESXi」狙いの世界的ランサムウェア攻撃が“謎の復活”　専門家が警告
• 中編：犯罪者の「ESXi離れ」どころか“ESXi依存”が止まらないのはなぜ？

「ESXiArgs」を巡る動きとは

• VMware「ESXi」を狙った世界的ランサムウェア攻撃「ESXiArgs」とは何だったのか
• “危ないESXi”を世界中で生んだランサム攻撃「ESXiArgs」　推奨の対策はこれだ

　セキュリティベンダーCrowdStrikeによると、ESXiを狙った攻撃の最も簡単な手口は、ESXiの認証情報の窃盗だ。攻撃者は認証情報を手に入れると、ESXiに対して任意のプログラムを実行できるようになる可能性がある。

　CrowdStrikeは、攻撃者が標的システムにアクセスし、ランサムウェアを展開させる目的を達成するために、ESXiの認証情報を不正入手する攻撃を観測した。その攻撃では、攻撃者が取得した認証情報は全て、任意のプログラムを実行するための特権を持つアカウントのものだったと同社は説明する。

　他にもCrowdStrikeは、攻撃者が有効なアカウントを使用するか、プログラムのリモート実行ができる脆弱（ぜいじゃく）性を悪用して、VMwareの管理コンソール「vCenter Server」にアクセスするのを観察したと述べる。

　CrowdStrikeによると、攻撃者はインターネット経由でのリモート管理に利用する通信プロトコル「SSH」（Secure Shell）を悪用して、ESXiの管理コンソールやvCenter Serverへの侵入を試みる。同社はESXiのユーザー企業に対して、SSHによるリモート接続を無効化することを推奨。万が一の攻撃を想定し、定期的にESXiのバックアップを取得することも勧める。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。