ハイパーバイザーを狙うランサムウェアの脅威が急増
現代の企業ITの不可視の基盤であるハイパーバイザーが、ランサムウェアグループの新たな主要な戦場となっています。特に2025年後半には、ハイパーバイザーを標的としたランサムウェア攻撃が急増しています。VMware ESXiやMicrosoft Hyper-Vのようなハイパーバイザーは、ほぼすべてのエンタープライズ仮想マシン(VM)を支えていますが、標準のエンドポイントが持つセキュリティ保護が不足していることが多く、攻撃者にとって「効果倍増装置」となっています。
攻撃トレンドとAkiraグループの関与
Huntress Security Operations Center(SOC)のデータによると、ハイパーバイザー層での悪意のある暗号化を伴うランサムウェア事件は、2025年上半期のわずか3%から、下半期には25%にまで急増しているという憂慮すべき傾向が明らかになりました。この急増の主な要因は、Akiraランサムウェアグループがタイプ1(「ベアメタル」)ハイパーバイザーを積極的に標的としていることにあります。ハイパーバイザーへのアクセスを得た攻撃者は、50台の個別のコンピューターをハッキングする代わりに、単一のコマンドで50台すべてを同時に暗号化することが可能になります。
攻撃の手口:脆弱性の悪用と「Living off the Land」
攻撃者は「Land-and-expand(侵入と拡大)」の手法を用いています。ネットワークに侵入すると(多くの場合、侵害された認証情報やパッチ未適用のVPNを介して)、ハイパーバイザー管理プレーンへと横方向に移動します。多くの場合、攻撃者はカスタムマルウェアをアップロードすることすら避けます。代わりに、`openssl`のような組み込みツールを使用して仮想ボリュームを直接暗号化する「Living off the Land」戦術を展開します。
この攻撃を加速させている重大な脆弱性は、CVE-2024-37085です。この欠陥により、十分なActive Directory(AD)権限を持つ攻撃者は「ESX Admins」グループを再作成し、ESXiホストの完全な管理制御を即座に奪取することができます。これにより、すべてのVMを一括で数秒で暗号化することが可能になります。
重要な防御戦略
ハイパーバイザーのセキュリティ確保には、エンドポイントに適用されるものと同等の厳格さが必要です。専門家は、多層防御戦略を推奨しています。主要な防御策は以下の通りです。
- 管理ネットワークの分離: ハイパーバイザーは、一般的な社内ネットワークに露出させてはなりません。専用のVLANを使用し、セキュアなジャンプボックスまたはバスティオンサーバーを介してのみアクセスを厳格に実施してください。
- 厳格なID管理: ESXi管理に一般的なドメイン管理者アカウントを使用するのをやめてください。ドメインアカウントが侵害されても、ハイパーバイザーが専用のローカルアカウントに依存していれば安全が保たれます。すべての管理インターフェースには、多要素認証(MFA)が必須です。
- ランタイム強化: `VMkernel.Boot.execInstalledOnly = TRUE`のような機能を有効にし、ホスト上で署名されたバイナリのみが実行されるようにすることで、悪意のある暗号化スクリプトをブロックします。
- イミュータブルバックアップ: 「3-2-1」バックアップルールを実装し、特にバックアップが変更または削除できない(イミュータブルである)ことを確認し、バックアップリポジトリがActive Directoryから隔離されていることを保証してください。
まとめ
防御側がエンドポイントを強化するにつれて、攻撃者は最も抵抗の少ない経路を探し続けるでしょう。ハイパーバイザー層は現在、多くの組織にとって大きな盲点となっています。ハイパーバイザーを高価値資産として扱い、厳格なパッチ適用、厳密なセグメンテーション、専用の監視を実施することで、企業はAkiraグループの攻撃を防ぎ、単一の侵害がシステム全体の障害となるのを阻止することができます。