セキュリティソフトウェアベンダーであるHuntressの研究者らは、ハイパーバイザーに対するランサムウェア攻撃が大幅に増加していることに気づき、ユーザーに対して、可能な限りセキュアな状態を保ち、適切にバックアップを行うよう強く促している。
「Huntressのケースデータは、ハイパーバイザーを狙うランサムウェアの驚くべき急増を明らかにしました。悪意ある暗号化におけるハイパーバイザーの役割は、今年前半のわずか3パーセントから、後半ではこれまでのところ25パーセントへと急上昇しています」と、Senior Hunt & Response AnalystのAnna Pham氏、Technical Account ManagerのBen Bernstein氏、Senior Manager for Hunt & ResponseのDray Agha氏は、月曜日の投稿で記している。
「この傾向を主導している主なアクターは、Akiraランサムウェアグループです」と3人は警告し、このギャングや他の攻撃者たちは、エンドポイントおよびネットワークのセキュリティコントロールを回避しようとして、ハイパーバイザーを狙っていると付け加えた。
Huntressのスレットハンターたちは、ランサムウェアの犯罪者がハイパーバイザーを狙うのは、それらが十分に防御されておらず、侵入に成功すれば、ハイパーバイザーが管理する仮想マシンやネットワークを好き放題にできるからだと考えている。
「この変化は、成長しつつある不穏なトレンドを浮き彫りにしています。攻撃者は、すべてのホストを制御するインフラストラクチャを標的にしており、ハイパーバイザーへのアクセスを得ることで、侵入の影響を劇的に増幅させているのです」と研究者たちは記している。
ハイパーバイザーへの攻撃は「おなじみの手口」に従っていると、3人は書いている。「VPNアプライアンスへの攻撃でも同じことを見てきました。脅威アクターは、ホストOSがしばしばプロプライエタリまたは制限されたものであり、防御側がEDR(Endpoint Detection and Response)のような重要なセキュリティコントロールをインストールできないことに気づくのです。これが重大なブラインドスポットを生み出します。」
Huntressは、「ランサムウェアオペレーターが、従来型のエンドポイント保護を完全にバイパスし、ハイパーバイザーを通じて直接ランサムウェアペイロードを展開するケースを複数観測しています。一部の事例では、攻撃者はOpenSSLのようなビルトインツールを利用して仮想マシンボリュームを暗号化し、カスタムのランサムウェアバイナリをアップロードする必要を回避しています。」と述べている。
研究者らはまた、攻撃者がネットワークを侵害し、認証情報を盗み、その後ハイパーバイザーを標的にする様子も確認している。「Hyper-V管理ユーティリティを悪用してVMの設定を変更し、セキュリティ機能を損なうケースも確認しています」と彼らは付け加える。「これには、エンドポイント防御の無効化、仮想スイッチの改ざん、大規模なランサムウェア展開に向けたVMの準備などが含まれます。」
ハイパーバイザーへの攻撃レベルが高まっていることを踏まえ、研究者らは管理者に対し、多要素認証と複雑なパスワードの利用を徹底し、パッチを最新の状態に保つといった情報セキュリティの基本に立ち返ることを推奨している。また、ホスト上で許可リストに登録されたバイナリのみが実行できるようにする設定を用いるなど、ハイパーバイザー固有の防御策を採用することも提案している。
Security Information and Event Management(SIEM)システムがハイパーバイザーログを取り込み、分析できるようにすることも、研究者らのTo-Doリストに含まれている。
インフォセックの専門家たちは何十年も前から、ハイパーバイザーが非常に魅力的な標的であることを認識している。特に最悪のケースとして、ゲスト仮想マシンへの攻撃によってホストおよびそのハイパーバイザーを乗っ取ることが可能になる「VMエスケープ」が成功した場合が挙げられる。そのような攻撃が現実のものとなれば、すべてのハイパースケールクラウドがテナントの仮想マシンを分離するためにハイパーバイザーに依存していることを考えると、その影響は計り知れないものになる可能性がある。®
