ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認 | ScanNetSecurity
2024.06.19(水)

ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月7日、VMware ESXiを標的としたランサムウェア攻撃について発表した。

脆弱性と脅威 セキュリティホール・脆弱性
暗号化後のESXiのログイン画面
暗号化後のESXiのログイン画面 全 2 枚 拡大写真

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月7日、VMware ESXiを標的としたランサムウェア攻撃について発表した。

 JPCERT/CCによると現地時間2月3日より、VMware ESXiが稼働するサーバを標的としたランサムウェア攻撃に関する情報が仏CERT-FRやOVHcloud、BleepingComputerなどから公開されている。

 同製品の既知のOpenSLPのヒープオーバーフローの脆弱性(CVE-2021-21974)を悪用した攻撃とみられ、攻撃を受けるとファイルが暗号化され身代金の支払いを求めるメッセージが残されるとのこと。

 ESXi OpenSLPヒープオーバーフローの脆弱性(CVE-2021-21974)の影響を受ける製品とバージョンは下記のとおり。

VMware ESXi 7.0系 Update 1cより前のバージョン(ESXi70U1c-17325551パッチ未適用)
VMware ESXi 6.7系 ESXi670-202102001より前のバージョン(ESXi670-202102401-SGパッチ未適用)
VMware ESXi 6.5系 ESXi650-202102001より前のバージョン(ESXi650-202102101-SGパッチ未適用)
VMware Cloud Foundation 4系 4.2より前のバージョンに含まれるESXi
VMware Cloud Foundation 3系 KB82705未適用のバージョンに含まれるESXi

 VMwareでも現地時間2月6日にブログを公開し、ランサムウェア攻撃への対策として既知の脆弱性への対策や回避策の適用、サポートバージョンへの移行、OpenSLPサービスの無効化を推奨している。

 JPCERT/CCによると、同脆弱性の対象とは明記されていない6.0系や5.5系のESXiサーバでも同攻撃の被害を受けており、6.5系より前のサポート対象外のバージョンも本脆弱性の影響を受ける可能性があるとしている。

 株式会社マクニカでも2月6日に、VMware社のESXiサーバを狙うランサムキャンペーン ESXiArgsに関する調査結果を同社のセキュリティ研究センターブログで公開している。

 同社によると、日本時間の2月3日から4日頃にVMware社のESXiサーバを標的にしたランサム攻撃(ESXiArgs)が始まり、2月5日午後4時時点で、グローバルで3,195台、日本国内で4台の被害を確認している。

 ESXiArgsで暗号化されたサーバはESXiのログイン画面が改ざんされ、サーバ内のデータが暗号化、身代金額は被害を受けたサーバごとに微妙に異なり約2BTC(約600万円)が要求されているとのこと。

 攻撃手法については、約2年前の2021年2月23日に公開されたCVE-2021-21974が悪用されていると推測している。

 被害傾向について、ESXiArgsの被害を受けたESXiサーバ3,195台が暗号化される時点で利用していたバージョンは、6.7.0、6.5.0、6.0.0、5.5.0に集中している。なお2023年2月5日午後4時時点でESXiのバージョン6.7.0、6.5.0、6.0.0、5.5.0に調査対象を限定し、国別の外部公開台数と被害発生数を調べてみると、ブラジルや中国、タイ、インドといった国は、攻撃を受けているバージョンを非常に多く外部に公開しているが被害が発生していないという。

 グローバルでのESXiのバージョン6.7.0、6.5.0、6.0.0、5.5.0の合計台数は57,446台、グローバルでの被害総数は3,162台で被害発生割合は5.5%となり、グローバル平均である5.5%以上の被害を受けているフランス、フィンランド、カナダ、ドイツと言ったウクライナ支援に積極的な国では多くの被害が発生しているようにも見えると指摘している。

 また同社がShodanで調査した、外部に公開されたESXiサーバの台数について、グローバルで約84,000台、日本国内で570台あったことを挙げ、そもそもESXiサーバの管理画面は外部に公開すべきではなく、大きな問題があると指摘している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  2. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  5. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  6. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  7. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  8. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  9. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  10. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

ランキングをもっと見る