ESXi環境を狙う新たなランサムウェア攻撃を確認　SSHトンネリングを使用：セキュリティニュースアラート

　VMware ESXiアプライアンスは企業の重要なサーバをホストすることから、脅威アクターにとって狙う価値のある標的となっている。攻撃者は仮想マシンのイメージを盗み出し暗号化することで業務運営を混乱させ、影響を受ける組織に多大な損害を与えている。このような攻撃の影響は業務停止にとどまらず、組織の評判をも損なう可能性がある。

　Sygnia Consultingの調査によると、攻撃者がSSHトンネリングを利用してVMware ESXiアプライアンスを永続的な侵入経路として悪用していることが分かった。具体的には管理者の資格情報を取得するか、既知の脆弱（ぜいじゃく）性を悪用してVMware ESXiの認証を回避し、SSHを使ってC2サーバとの通信を実行するトンネルを構築する。この手法によって攻撃者は正規のトラフィックに紛れ込みながらバックドアを利用し続けることが可能となる。

　また、VMware ESXiアプライアンスのログ記録メカニズムにも問題があるとされている。ログエントリーは複数の専用ログファイルに分散されており、フォレンジック調査に必要なログデータ全体が集約されてはいない。

　Sygnia Consultingは、SSHログインの有効化やファイアウォール設定の変更といった疑わしい活動に注視することを推奨している。また、効率的にフォレンジック調査を実施するためにVMware ESXi関連のログデータを外部のsyslogサーバに転送することも勧めている。VMware ESXiサーバからのライブフォレンジックデータを活用することで攻撃の早期発見が可能になるとしている。VMware ESXi環境を狙った攻撃は増加傾向にあり、脅威アクターの手法も進化を続けている。企業は仮想化環境のセキュリティを見直し、監視体制を強化することが求められる。