はじめに:見過ごされがちなハイパーバイザーの脅威
サイバーセキュリティの世界に新たな警鐘が鳴らされました。セキュリティ研究者Andy Gill(ZephrSec)氏によって詳細が明らかにされた「LOLPROX」は、人気のオープンソースハイパーバイザーであるProxmox Virtual Environment (VE) を標的とした「Living Off The Land (LOL)」攻撃手法の包括的なカタログです。この研究は、脅威アクターがProxmox VEのネイティブツールをいかに悪用し、従来のネットワーク監視やエンドポイント検出システムを回避する、ステルス性の高い、深い永続性を持つ攻撃を実行できるかを浮き彫りにしています。
Proxmox VEは基盤に完全なDebian Linuxディストリビューションを使用しているため、攻撃者は標準的なLinuxの特権昇格技術と、ハイパーバイザー固有のユーティリティを組み合わせた二重の脅威ランドスケープを悪用することが可能になります。
LOLPROXによる攻撃手法と悪用されるツール
LOLPROXの手法は、一度Proxmoxホストが侵害されると、攻撃者が内蔵されている以下のバイナリを活用してゲストVMに侵入できることを示しています。
qm(QEMU/KVMマネージャー)pct(LXCコンテナマネージャー)pvesh(Proxmox APIツール)
これらのツールを悪用することで、典型的なネットワークトラフィックを発生させることなく、ゲストVM内へのピボットが可能になります。特にクラスタ環境では、一度アクセス権を得ると、複数の物理ホストにアクセスが拡大し、クラスタファイルシステムを通じて設定変更が自動的に伝播されるという危険性も指摘されています。
見過ごされがちな脆弱性:vSockとQEMU Guest Agent
分析で詳細に述べられている最も警戒すべき攻撃ベクトルの一つは、vSock (仮想ソケット) 操作の悪用です。vSockはハイパーバイザーとゲストVM間の通信チャネルを提供し、TCP/IPスタックを完全にバイパスします。このトラフィックは仮想PCIデバイスを介して行われるため、ファイアウォール、侵入検知システム (IDS)、標準のNetFlowロギングからは完全に不可視です。ハイパーバイザーへのルートアクセスを持つ攻撃者は、VM内に直接コマンド&コントロール (C2) チャネルを確立し、ネットワークから隔離された環境にもデジタルフットプリントを残すことなく「到達」できるのです。
さらに、QEMU Guest Agentも重要なリスクをもたらします。このエージェントが有効になっている場合、ハイパーバイザーはゲストVM内で任意のコマンドを実行できます (例: qm guest exec)。この機能により、攻撃者は認証、ネットワーク接続、または標準のログインイベントなしに、ゲスト内でSYSTEM (Windows) またはroot (Linux) としてコマンドを実行可能となります。LOLPROXの研究では、これらのアクションは多くの場合、ローカルタスクログ (/var/log/pve/tasks/) にのみ記録され、巧妙な侵入者によって容易に消去されうると指摘されています。
高度なデータ窃取と永続化の技術
レポートは、スナップショットとバックアップを利用した高度なデータ窃取方法も概説しています。攻撃者はメモリ状態 (--vmstate) を含むVMスナップショットを作成することで、暗号化キーや認証情報を抽出するためにオフラインで分析可能な完全なメモリダンプを生成できます。同様に、ハイパーバイザーのネイティブバックアップツールは、オフラインマウントと分析のために完全なディスクイメージをエクスポートするために使用でき、NTDS.ditやシャドウファイルなどの機密データを、実行中のVMと対話することなく収集することを可能にします。
永続化に関しては、分析はカーネルレベルの脅威に警告を発しています。攻撃者は悪意のあるカーネルモジュールをロードしたり、eBPF (Extended Berkeley Packet Filter) を悪用してブロック層でI/O要求を傍受したりすることが可能です。これにより、ディスクに書き込まれるデータを傍受し、ランサムウェアの暗号化やデータ窃取をゲストオペレーティングシステムから透過的に行うことができます。
防御策と推奨事項
LOLPROXに対する防御には、ネットワークベースの監視から厳格なホストベースのロギングへと焦点を移す必要があります。セキュリティ専門家は、以下の対策を推奨しています。
- Proxmoxタスクログを監視し、
qmおよびpctコマンドの異常な使用を検出する。 - カーネルモジュールを監査する。
- QEMUバイナリの整合性を検証し、不正な変更を検出する。
これらの対策を通じて、組織はProxmox VE環境のセキュリティ体制を強化し、ステルス性の高いハイパーバイザー攻撃から身を守ることが求められます。