ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認 | ScanNetSecurity
2024.05.30(木)

ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月7日、VMware ESXiを標的としたランサムウェア攻撃について発表した。

脆弱性と脅威 セキュリティホール・脆弱性
暗号化後のESXiのログイン画面
暗号化後のESXiのログイン画面 全 2 枚 拡大写真

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月7日、VMware ESXiを標的としたランサムウェア攻撃について発表した。

 JPCERT/CCによると現地時間2月3日より、VMware ESXiが稼働するサーバを標的としたランサムウェア攻撃に関する情報が仏CERT-FRやOVHcloud、BleepingComputerなどから公開されている。

 同製品の既知のOpenSLPのヒープオーバーフローの脆弱性(CVE-2021-21974)を悪用した攻撃とみられ、攻撃を受けるとファイルが暗号化され身代金の支払いを求めるメッセージが残されるとのこと。

 ESXi OpenSLPヒープオーバーフローの脆弱性(CVE-2021-21974)の影響を受ける製品とバージョンは下記のとおり。

VMware ESXi 7.0系 Update 1cより前のバージョン(ESXi70U1c-17325551パッチ未適用)
VMware ESXi 6.7系 ESXi670-202102001より前のバージョン(ESXi670-202102401-SGパッチ未適用)
VMware ESXi 6.5系 ESXi650-202102001より前のバージョン(ESXi650-202102101-SGパッチ未適用)
VMware Cloud Foundation 4系 4.2より前のバージョンに含まれるESXi
VMware Cloud Foundation 3系 KB82705未適用のバージョンに含まれるESXi

 VMwareでも現地時間2月6日にブログを公開し、ランサムウェア攻撃への対策として既知の脆弱性への対策や回避策の適用、サポートバージョンへの移行、OpenSLPサービスの無効化を推奨している。

 JPCERT/CCによると、同脆弱性の対象とは明記されていない6.0系や5.5系のESXiサーバでも同攻撃の被害を受けており、6.5系より前のサポート対象外のバージョンも本脆弱性の影響を受ける可能性があるとしている。

 株式会社マクニカでも2月6日に、VMware社のESXiサーバを狙うランサムキャンペーン ESXiArgsに関する調査結果を同社のセキュリティ研究センターブログで公開している。

 同社によると、日本時間の2月3日から4日頃にVMware社のESXiサーバを標的にしたランサム攻撃(ESXiArgs)が始まり、2月5日午後4時時点で、グローバルで3,195台、日本国内で4台の被害を確認している。

 ESXiArgsで暗号化されたサーバはESXiのログイン画面が改ざんされ、サーバ内のデータが暗号化、身代金額は被害を受けたサーバごとに微妙に異なり約2BTC(約600万円)が要求されているとのこと。

 攻撃手法については、約2年前の2021年2月23日に公開されたCVE-2021-21974が悪用されていると推測している。

 被害傾向について、ESXiArgsの被害を受けたESXiサーバ3,195台が暗号化される時点で利用していたバージョンは、6.7.0、6.5.0、6.0.0、5.5.0に集中している。なお2023年2月5日午後4時時点でESXiのバージョン6.7.0、6.5.0、6.0.0、5.5.0に調査対象を限定し、国別の外部公開台数と被害発生数を調べてみると、ブラジルや中国、タイ、インドといった国は、攻撃を受けているバージョンを非常に多く外部に公開しているが被害が発生していないという。

 グローバルでのESXiのバージョン6.7.0、6.5.0、6.0.0、5.5.0の合計台数は57,446台、グローバルでの被害総数は3,162台で被害発生割合は5.5%となり、グローバル平均である5.5%以上の被害を受けているフランス、フィンランド、カナダ、ドイツと言ったウクライナ支援に積極的な国では多くの被害が発生しているようにも見えると指摘している。

 また同社がShodanで調査した、外部に公開されたESXiサーバの台数について、グローバルで約84,000台、日本国内で570台あったことを挙げ、そもそもESXiサーバの管理画面は外部に公開すべきではなく、大きな問題があると指摘している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

    半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  2. SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

    SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

  3. クロネコメンバーズにパスワードリスト攻撃による不正ログイン、3,467件が閲覧された可能性(ヤマト運輸)

    クロネコメンバーズにパスワードリスト攻撃による不正ログイン、3,467件が閲覧された可能性(ヤマト運輸)

  4. 社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

    社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

  5. 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

    岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

  6. セキュリティ企業ホラ吹きCEOバカ一代記

    セキュリティ企業ホラ吹きCEOバカ一代記

  7. バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

    バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

  8. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  9. 日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

    日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

  10. 北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

    北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

ランキングをもっと見る