仮想マシン(VM)の「安全神話」が崩れる“7大リスク要因”:VMとホストマシンの両方を保護する【前編】
「分離された環境だから仮想マシン(VM)は安全」という認識は正しくない。VMの基本的な仕組みとともに、VMとホストマシンを危険にさらす7つの要因を解説する。
仮想マシン(VM)は、物理的なコンピュータをソフトウェアで再現したものだ。他のシステムから独立した実行環境を実現するための有力な手段となるため、VMはアプリケーションの開発やテスト、運用といった場面で広く活躍している。こうした性質は、理論上はVM内のマルウェアがホストマシンに影響を与えることを防ぐ。だがこの安全性を過信してはいけない。セキュリティ対策やアクセス制御が不十分になり、VMとホストマシンの両方が攻撃のリスクにさらされる可能性がある。何がリスクの要因になるのか。
仮想マシン(VM)とホストマシンを危険にさらす7大要因
VMとホストは分離されているにもかかわらず、VMを足掛かりとしてホストマシンに被害を及ぼす攻撃手法は複数ある。主な攻撃手法は以下の通りだ。
要因1.ハイパーバイザーの脆弱性
VMを管理するハイパーバイザーに脆弱(ぜいじゃく)性があれば、攻撃者はその脆弱性を悪用してホストマシンを制御下に置くことができる。そうすることで、ホストマシンで悪意のあるプログラムを実行できるようにもなる。ハイパーバイザーはセキュリティを考慮して設計されているが、完璧ではない。ハイパーバイザーの安全性を過信すると、他の重要なセキュリティ対策がおろそかになりやすい。
要因2.VMエスケープ
「VMエスケープ」は、攻撃者がハイパーバイザーの脆弱性を悪用してVMから抜け出し、ホストマシンで悪意のあるプログラムを実行する攻撃手法を指す。一度攻撃者がVMエスケープに成功すると、ハイパーバイザーの管理者権限を悪用して、他のVMにも危害を加える可能性がある。
要因3.共有リソースや共有機能の悪用
フォルダ、ネットワークインタフェース、クリップボードなどをVMとホストマシンが共有する場合、それらを経由してマルウェアが拡散する恐れがある。利便性を重視するあまり、共有機能のリスクを軽視することはありがちなミスだ。
要因4.設定ミス
ハイパーバイザーのセキュリティ設定が不適切だと、VMとホストマシンの分離が不完全になることがある。例えば、VMからのネットワークアクセスを無制限に許可にすると、ホストマシンがネットワーク経由で攻撃を受けやすくなる。
要因5.人為的ミス
エンドユーザーがマルウェアに感染したファイルをコピーしたり、USBメモリなどの共有デバイスを使用したりすることによって、意図せずマルウェアがVMからホストシステムに転送されることがある。アクセス権限の管理が不十分だと、攻撃者が強い権限を持つアカウントを悪用できる状態になりかねない。
要因6.システムの古さ
ハイパーバイザーやVM用のOSが、パッチ未適用だったり、バージョンが古過ぎたりすると、攻撃者に悪用される脆弱性が残っていることになる。IT管理者はVMのセキュリティ対策に気を取られ、ホストマシンのセキュリティを軽視しがちだ。ホストマシンはVMの重要な要素であるため、その侵害は深刻な影響をもたらす恐れがある。
要因7.サードパーティー製ツールの問題
攻撃者はサードパーティー製のハイパーバイザー管理ツールの脆弱性を悪用して、ホストマシンに侵入できる。2015年に見つかった脆弱性「Virtualized Environment Neglected Operations Manipulation」(VENOM)は、オープンソース仮想化ソフトウェア「QEMU」(Quick Emulator)の仮想フロッピードライブに存在する欠陥に起因するものだ。VENOMは「Xen」や「KVM」(Kernel-based Virtual Machine)など、複数の仮想化ツールに影響を与えた。攻撃者はVENOMを悪用してVMを抜け出し、ホストマシンで悪意のあるプログラムを実行できた。
次回は、VMとホストマシンのセキュリティ対策を紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.