はじめに:ランサムウェアの新たな標的としてのハイパーバイザー
ハイパーバイザーは現代の仮想化環境の基盤ですが、侵害されると攻撃者にとって多大な影響力を持つことになります。このレイヤーで一度侵害が発生すると、数十、あるいは数百もの仮想マシンが同時にリスクに晒される可能性があります。従来のエンドポイントとは異なり、ハイパーバイザーは可視性や保護が限られていることが多く、従来型のセキュリティツールでは手遅れになるまで攻撃を検知できない場合があります。HuntressのSOCおよび脅威ハンティング部門の視点から見ると、攻撃者は大規模なランサムウェア展開のためにハイパーバイザーを標的とするケースが増加していることが確認されています。具体的には、2025年のHuntressのケースデータによると、ハイパーバイザーを狙ったランサムウェアが急増しており、その役割は上半期のわずか3%から下半期には25%にまで跳ね上がっています。この傾向を牽引する主要な攻撃者はAkiraランサムウェアグループです。
この変化は、エンドポイントやサーバーに適用するのと同じ厳格さで、ハイパーバイザーレイヤーを強化することの重要性を浮き彫りにしています。この記事では、私たちが実際に観測した脅威の概要を説明し、パッチ適用、アクセス制御からランタイムの強化、堅牢な復旧戦略に至るまで、ハイパーバイザーインフラストラクチャを保護するための実践的なガイダンスを提供します。
ランサムウェア運用の新たな戦場としてのハイパーバイザー
2025年の過去数ヶ月間、Huntressは攻撃者がエンドポイントおよびネットワークのセキュリティ制御を回避するためにハイパーバイザーを標的としていることを観測しました。これは理にかなっています。防御側がエンドポイントとサーバーの強化を続けるにつれて、攻撃者は仮想化インフラストラクチャの基盤であるハイパーバイザーレイヤーに焦点を移しています。Type 1(「ベアメタル」)ハイパーバイザーはサーバーハードウェアに直接インストールされる基盤であり、Type 2(「ホスト型」)ハイパーバイザーは通常のコンピュータのOS上で動作するアプリケーションです。
この変化は、既視感のある手口に沿っています。VPNアプライアンスへの攻撃で見てきたように、脅威アクターはホストOSがプロプライエタリまたは制限されていることが多く、防御側がEDRのような重要なセキュリティ制御をインストールできないことに気づいています。これにより、重大な死角が生じます。同じ原則がType 1ハイパーバイザーにも当てはまります。これらは、従来のエンドポイントセキュリティが届かない、究極の「侵入・拡大」の標的となるのです。また、ランサムウェア運用者がハイパーバイザーを介してランサムウェアペイロードを直接展開し、従来のエンドポイント保護を完全に迂回するケースも複数観測しています。いくつかの事例では、攻撃者がopensslのような組み込みツールを利用して仮想マシンボリュームの暗号化を実行し、カスタムのランサムウェアバイナリをアップロードする必要を回避しています。
ネットワーク内に侵入した後、攻撃者はしばしば、ネットワークセグメンテーションがハイパーバイザー管理ページへの横方向の移動を阻止できなかった環境で、侵害された内部認証情報を使用してハイパーバイザーにピボットします。この動きにより、単一の管理インターフェースから複数のゲストシステムに対する特権的な制御を獲得します。Hyper-V管理ユーティリティの悪用により、VM設定の変更やセキュリティ機能の弱体化が確認されています。これには、エンドポイント防御の無効化、仮想スイッチの改ざん、大規模なランサムウェア展開のためのVM準備などが含まれます。
この変化は、ますます不穏な傾向を浮き彫りにしています。攻撃者はすべてのホストを制御するインフラストラクチャを標的としており、ハイパーバイザーへのアクセスを獲得することで、侵入の影響を劇的に増幅させるのです。
管理プレーンのアクセスを保護し、最小特権を適用し、分離する
攻撃者がハイパーバイザーの管理権限を取得した場合、ホスト上のすべてのVMに影響を与えるランサムウェアペイロードを展開できます。また、ESXiにドメイン参加型アカウント(例:Active Directory (AD) アカウント)を使用すると、横方向の移動リスクが増加します。
対策:
- ローカルESXiアカウントを使用する。管理には汎用的なドメイン管理者アカウントの使用を避ける。代わりに、専用のローカルESXiアカウント、または必要な最小限の権限を持つ、厳密に制限された監査済みのドメインアカウントを作成する。ドメイン管理者アカウントが侵害された場合でも、この分離により、ハイパーバイザーとその仮想マシンへの即時かつ不正なアクセスを防止できる。
- 多要素認証(MFA)を義務付ける。これはすべての重要なインフラストラクチャにとって必須である。ホスト管理インターフェースおよびvCenterアクセスにMFAを義務付け、認証情報の盗難から保護する。盗まれたユーザー名とパスワードを持つ攻撃者はブロックされ、成功した侵害に必要な労力を大幅に増加させる。この制御は、一般的なフィッシングやブルートフォース攻撃に対する堅牢な防御となる。
- セキュアなパスワードボールトに強力なパスワードを保存する。ESXiの認証情報は極めて強力である必要があり、専用のパスワードボールトにのみ保存し、共有ドキュメントやセキュリティの低い場所に決して保存しない。これにより、侵害されたファイル共有や安全でないパスワード管理方法といった一般的な攻撃ベクトルを介した認証情報の漏洩を防止する。
- ホスト管理ネットワークを分離する。ハイパーバイザーの管理ネットワークを本番環境および一般ユーザーネットワークから分離する。論理的および/または物理的に分離された専用のVLANまたはネットワークセグメントを作成する。ハイパーバイザー管理インターフェースへの接続を試みることができるエンドポイントの数を制限することで、潜在的な攻撃対象領域を大幅に削減する。
- ジャンプボックスまたはバスティオンサーバーを導入する。すべての管理アクセスが監査され、制御されるように、IT管理者がまずアクセスし、そこからハイパーバイザーに接続するジャンプボックスまたはバスティオンサーバーを導入する。この設定により、セキュリティの低い可能性のある管理者ワークステーションからの直接接続を排除する。ジャンプボックスは監視されるチェックポイントとして機能し、セッション記録、すべてのコマンドのログ記録、および重要なインフラストラクチャへのアクセスを許可する前のセキュリティポリシーの実施を可能にする。
- 最小特権の原則(PoLP)を適用する。制御プレーン(vCenterおよび個々のホスト)へのアクセスを厳密に制限する。人間の管理者とサービスアカウントの両方に、リソース管理やパッチ適用などの必要な管理機能に対する最小限の役割のみを付与する。PoLPを適用することで、単一のアカウントの侵害が仮想化環境全体の大規模な変更に悪用されることを防止する。
- 管理アクセスを専用の管理者デバイスに制限する。ESXi管理インターフェースへのアクセスを静的IPアドレスを持つ特定の管理者デバイスに制限する。これにより、既知の承認されたエンドポイントのみがハイパーバイザーへの接続を試みることができるようになり、攻撃対象領域がさらに縮小される。
ハイパーバイザーのランタイム環境をロックダウンし、コード/実行制御を強制する
ハイパーバイザーレベルのランサムウェアにおける特有のリスクの1つは、攻撃者がホスト上に侵入すると、ゲストOSの制御を迂回してハイパーバイザーレベルでコードを実行できることです。ホストが期待される署名付きコードと信頼できるモジュールのみを実行するように強化する必要があります。
対策:
- 高度なホスト設定
VMkernel.Boot.execInstalledOnly = TRUEを有効にし、署名されたVIBを介してインストールされたバイナリのみが実行できるようにすることで、カスタムの悪意のあるバイナリがホスト上で実行されることを防止する。 - SSHやESXi Shellなどの不要なサービスは使用しないときは無効/閉鎖する。ロックダウンモードを有効にする。
ハイパーバイザーのパッチを常に最新に保ち、露出した表面を最小限に抑える
攻撃者は、大規模な暗号化操作のために、既知の脆弱性を介してESXiホストを積極的に標的としています。ゼロデイ脆弱性やCVEが、侵害の最も一般的/現実的な理由になる可能性は低く、セキュリティセグメンテーションの欠陥である可能性が高いです。しかし、パッチの維持は極めて重要です。例えば、CVE-2024-37085は、このハイパーバイザーのリスクを完璧に浮き彫りにしています。この脆弱性により、適切なAD権限を持つ攻撃者は認証を回避し、ESXiホストの完全な管理制御を瞬時に掌握し、数秒で全てのVMの大量暗号化につながる可能性があります。このエクスプロイトは、脆弱なESXiホストが「ESX Admins」ADグループに自動的に完全な管理者権限を付与するため機能します。脅威アクターは、そのグループを再作成するだけで、直ちに「王国の鍵」を奪取することができます。これらの初期侵害は、しばしばパッチが適用されていない管理インターフェースや、Service Location Protocol(SLP)のような公開されたプロトコルから始まり、容易な侵入経路を提供します。
対策:
- すべてのESXiホスト(およびvCenterなどの関連管理コンポーネント)のインベントリとパッチレベルを維持する。ベンダーからのセキュリティパッチとアップデート、特にハイパーバイザー関連のCVEに優先順位を付けて適用する。
- 不要なサービスは無効にするか制限する、または外部に露出していないことを確認する。Service Location Protocol (SLP/ポート427) は、ESXArgsのようなランサムウェアグループに悪用されており、無効にするべきである。VMwareの公式修正ガイダンスに従う。
- ESXiホストが管理目的でインターネットに直接公開されていないことを確認する。VPN、バスティオンホスト、または隔離された管理ネットワークを使用する。
バックアップ戦略、不変のスナップショット、迅速な復旧能力
強力な予防策を講じても、リスクは残ります。ハイパーバイザー層は影響が大きく、フォールバックは必須です。多くのガイドは、復旧が最後の防御線であることを強調しています。ESXiを標的とするランサムウェアは通常、VMDKやホストファイルを暗号化しようとします。適切なバックアップがなければ、支払いを余儀なくされる可能性があります。
対策:
- 「3-2-1」バックアップルールを採用する。少なくとも3つのデータコピーを、2つの異なるメディアに保存し、そのうち1つはオフサイト/ハイパーバイザーネットワーク外に保管する。
- 不変のバックアップリポジトリまたはスナップショットを使用する。これにより、一度書き込まれたデータはランサムウェアによって変更または削除できないようにする。
- バックアップリポジトリをActive Directoryまたは集中型ID管理システムに接続しない。代わりに、ドメインに参加していない個別の専用ローカルアカウントを使用し、侵害されたAD認証情報が重要なバックアップ場所にランサムウェアが直接拡散するのを防ぐ。
- フルVMイメージと関連するハイパーバイザーの状態を含むバックアップを確保し、迅速に再構築できるようにする。バックアップは定期的にテストする。バックアップをマウントしてファイルにアクセスできることだけでなく、OSが完全に起動し、既知の認証情報でログインできることを確認する。毎年最低でも完全な復旧訓練を実施する。思い込みはダウンタイムの長期化につながる。
追加の考慮事項:
- オフサイトおよび/またはフェイルオーバー拠点でのテストは実施しましたか?
- サーバーに適切なネットワーク/接続があることを確認できますか?
- 本番エンドポイントからこれらのフェイルオーバーサーバーにアクセスできますか?
- バックアップサイト/フェイルオーバー拠点のファイアウォールには、EDR、RMM、VPNクライアントなどの重要なツールからの適切な通信を確保するために、必要な許可リストとファイアウォールルールがすでに設定されていますか?
異常を監視、検出し、侵害を前提とする(多層防御)
ハイパーバイザー層は、EDRのような従来のエンドポイントセキュリティツールでは可視性が低いことが多いため、代替の検出戦略が必要です。攻撃者は、ランサムウェアペイロード展開の前段階として、VIB受け入れレベルの変更、SSHの有効化、ロックダウンモードの無効化、新しい管理者アカウントの作成といった行動をとることがよくあります。監視がなければ、暗号化が完了した後でしかイベントを検知できない場合があります。
対策:
- ESXiログをSIEMに転送し、重要な疑わしいイベント(新しいルートログイン、サービス有効化、VIB受け入れ変更、データストアのアンマウントなど)に対してアラートを作成する。
- 設定のドリフトを監視する。いずれかのホストでロックダウンモードが無効になっている、SSHが有効になっている、または
execInstalledOnlyがオフになっている場合は、レビューのためにフラグを立てる。 - 管理ネットワークトラフィックをログに記録する。ESXiやその他の重要なインフラストラクチャの制御プレーンを専用のVLANまたはネットワークセグメントに配置することを以前推奨しましたが、今度は、ハイパーバイザー管理インターフェースにアクセスしている異常な送信元IP(理想的にはジャンプサーバーからのトラフィックのみを許可)、横方向の移動試行、またはVM暗号化と一致する大規模なデータストアIOパターンを探す時である。
- ハイパーバイザー管理にゼロトラストの考え方を採用し、認証情報が侵害されている可能性があると仮定し、それに応じてアラートを構築する。
従来のsyslog形式とは異なり、ESXiは特定の活動ごとにログを個別のファイルに分離します。ハイパーバイザーの侵害を検出および調査する上で最も重要なログファイルは次のとおりです。
/var/log/auth.log(認証イベント)/var/log/hostd.log(ホストエージェント活動)/var/log/shell.log(ESXiシェルコマンド)/var/log/vobd.log(VMwareオブザーバーデーモン)
ログ構成ガイダンスについては、BroadcomのドキュメントおよびSygniaのESXi防御戦略を参照してください。サードパーティのSOCまたはMDRプロバイダーと提携する場合、共同責任モデルを確立することを検討してください。外部のセキュリティパートナーは、定常的な内部メンテナンスと午前2時に侵入する攻撃者の区別に必要なビジネスコンテキストを持っていません。この区別は極めて重要です。サードパーティのSOCは、ランサムウェアの実行そのもののような普遍的な悪意を検出するのに最も適しています。これを補完するために、内部セキュリティチームがインサイダー脅威や、SSHの有効化に続く深夜のログインなど、彼らだけが文脈化できる行動の監視に焦点を当てることをお勧めします。このモデルを成功させるには、ITチームは変更管理手順を厳守し、予定されているすべてのハイパーバイザーの変更を内部セキュリティに伝える必要があります。これにより、SOCはすべての予期される活動を認識し、すべての関係者が最も効果的な領域に努力を集中できるようになります。
結論
ESXiのようなベアメタルハイパーバイザーをランサムウェアから保護するには、多層的でプロアクティブなアプローチが必要です。パッチ適用とアクセス制御から、ランタイムの強化と復旧準備、検出とログ記録に至るまで、あらゆる角度から対策を講じる必要があります。最悪の事態に備えるためのより包括的なガイダンスが必要な場合は、災害復旧計画のガイドを確認してください。今こそ、組織として自問する時です。「最後にIRPとDRPを完全に更新しテストしたのはいつか、特にすべてのゲスト仮想マシンを復元して実行する能力を確認したのはいつか?」私たちの最高の予防および検出努力にもかかわらず、組織は成功した侵害の可能性にも備えるべきです。ESXi環境が侵害されたことに対応している場合は、この包括的なESXi IRガイドを確認することをお勧めします。このガイドは、ESXi環境に特化した詳細なインシデント対応手順とフォレンジックアーティファクトを提供します。Huntressを活用することで、OS/エンドポイント層でこれらの多くをすでに適用しているかもしれませんが、ハイパーバイザーはその大規模な影響の可能性のため、同じ厳格さ(そしてしばしばそれ以上)を要求します。この記事の防御ガイダンスを環境とセキュリティプロセスに組み込むことで、ランサムウェア攻撃者にとっての障壁を大幅に高めることができます。
2026年の状況認識を維持する – Tradecraft Tuesdayに登録しよう
Tradecraft Tuesdayは、サイバーセキュリティの専門家に対し、最新の脅威アクター、攻撃ベクトル、および緩和戦略に関する詳細な分析を提供します。毎週のセッションでは、最近のインシデントの技術的なウォークスルー、マルウェアのトレンドの包括的な分析、および最新の侵害指標(IOC)が特集されます。参加者は以下を得られます。
- 新たな脅威キャンペーンとランサムウェアの亜種に関する詳細なブリーフィング
- エビデンスに基づいた防御手法と修正技術
- インシデント対応に関するHuntressアナリストとの直接対話
- 実用的な脅威インテリジェンスと検出ガイダンスへのアクセス
Tradecraft Tuesdayに登録して、組織の環境保護を担当する専門家向けに特別に設計されたリアルタイムインテリジェンスと技術教育で防御体制を強化しましょう。