ジャンプ先:
- このランサムウェア攻撃はどのように実行されるのでしょうか?
- フランスと米国が最大の標的
- ランサムウェアの脅威から組織を守る方法
- このランサムウェアの脅威から回復する方法
このランサムウェア攻撃はどのように実行されるのでしょうか?
CVE-2021-21974は、VMware ESXiで使用されるOpenSLPに影響を与える脆弱性です。この脆弱性を悪用されると、攻撃者は任意のコードを実行できるようになります。この脆弱性を悪用したエクスプロイトは、2021年5月以降、さまざまなオープンソースで発見されています。
フランス政府のコンピュータ緊急対応チーム CERT-FR は、2023 年 2 月 3 日にこの脆弱性を悪用するランサムウェアに関する警告を最初に発し、すぐにフランスのホスティング プロバイダー OVH もそれに続きました。
攻撃者は、ほとんどの VMware 顧客が使用していないプロトコルであるポート 427 (サービス ロケーション プロトコル、SLP) を介して、リモートで認証なしでこの脆弱性を悪用する可能性があります。
このランサムウェアは、感染したシステム上で以下の拡張子を持つファイルを暗号化します:.vmdk、.vmxf、.vmsd、.vmsn、.vmss、.vswp、.nvram、.vmem。その後、VMXプロセスを強制終了してファイルのロックを解除し、仮想マシンをシャットダウンしようとします。
暗号化が完了すると、3 日以内にビットコイン暗号通貨で支払う必要がある身代金を要求するテキスト メモが残されます (図 A )。
図A
この攻撃の背後にいるランサムウェアの脅威アクターは不明ですが、このマルウェアは新しいランサムウェアであると思われます。OVHは、複数のセキュリティ研究者によると、このランサムウェアで使用されている暗号化アルゴリズムは、コード構造は異なるものの、2021年9月に流出したBabukマルウェアコードで使用されていたものと同じであると報告しています。
2021 年に漏洩した Babuk コードは、ESXi システムを標的とすることが多い他のマルウェアの作成に使用されましたが、セキュリティ研究者によって ESXiArgs と名付けられたこの新しいマルウェアの帰属について決定的な結論を出すのは時期尚早と思われます。
フランスと米国が最大の標的
インターネットに接続されたデバイスを検索するオンラインツール「Censys Search」によると、1,000台以上のサーバーがランサムウェアの攻撃を受けており、その大半はフランスで発生し、次いで米国とドイツで発生している。
本稿執筆時点では、フランスでは 900 台以上のサーバーが侵害を受けており、米国でも約 400 台のサーバーが攻撃を受けています。
まだ攻撃を受けていない脆弱なシステムは、もっと多く存在する可能性があります。Shadowserver Foundationは、VMwareソフトウェアのバージョンに応じて、約27,000のインスタンスが脆弱である可能性があると報告しています。
ランサムウェアの脅威から組織を守る方法
パッチ未適用のVMware ESXiを実行しているシステムでは、SLPサービスが稼働している場合は、これを停止することが最優先事項です。この脆弱性はSLPサービスを介してのみ悪用されるため、SLPサービスを停止しておけば、この経路でシステムを攻撃することはできません。
次のステップでは、VMware でサポートされているバージョン (ESXi 7.x または ESXi 8.x) でハイパーバイザーを再インストールし、すべてのセキュリティ パッチを適用します。
最後に、すべての管理サービスは保護され、ローカルでのみ利用可能である必要があります。リモートアクセスが必要な場合は、多要素認証またはIPフィルタリングを備えたVPNを使用する必要があります。
ランサムウェア攻撃の防止に注力するサイバーセキュリティ企業 BullWall の最高技術責任者 Jan Lovmand 氏は、TechRepublic に対し、この脆弱性についてさらに詳しく語った。
「この脆弱性が発見された2021年2月以降、VMwareからパッチが公開されています」とロヴマンド氏は述べた。「これは、多くの組織が社内システムやアプリケーションにパッチを適用するまでにどれほどの時間がかかるかを示すものであり、犯罪者が侵入経路を見つけ続ける多くの理由の一つに過ぎません。攻撃対象領域は広く、脆弱性がパッチ適用されていない場合、このようなシナリオでは予防的なセキュリティソリューションを回避できる可能性があります。」
Lovmand 氏は、ネットワークにパッチを適用することの重要性も強調しました。
「2023年に企業がランサムウェア攻撃を受ける確率は五分五分です」と彼は述べた。「セキュリティソリューションでは、パッチが適用されていないネットワークを保護できません。」
このランサムウェアの脅威から回復する方法
セキュリティ研究者のエネス・ソムネズ氏とアフメット・アイカック氏は、システムがこのランサムウェアに攻撃された場合に回復するためのソリューションを提供した。
研究者らによると、このランサムウェアは.vmdkや.vmxといった小さなファイルを暗号化しますが、実際のデータを含むserver-flat.vmdkファイルは暗号化しません。このファイルを使用することで、フォールバックを行い、システムから情報を回復することが可能です。
OVHCloudの最高情報セキュリティ責任者であるジュリアン・レヴラール氏は、ソムネズ氏とアイカック氏が文書化した手法は、OVHだけでなく多くのセキュリティ専門家によってテストされており、影響を受けた複数のサーバーで成功率2/3を達成したと述べています。さらに、「この手順にはESXi環境に関する高度なスキルが必要です」と付け加えています。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
次に読む:パッチ管理ポリシー(TechRepublic Premium)
