米IBM Internet Security Systemsは同社の運営するBlog「Frequency X Blog」において、VMwareに関する脆弱性の調査に関する投稿を行っている。これによると、以下のような傾向がみられたという。
- 1999年以降、現在までにVMwareの仮想化製品群に発見された脆弱性の総数は100個である
- 総数に占める「リスクの高い脆弱性」は46%あり、また、リモートから悪用可能な脆弱性は57%にのぼる
- VMware仮想化製品群に発見された脆弱性のうち、72%は2006年以降に発見された
- VMware仮想化製品群に発見された脆弱性のうち、48%はVMware製品自体の問題である一方で、残りの52%はバンドル製品のホストOSに使用されたLinuxディストリビューションに含まれる(サードパーティコードの)問題である
- 2007年の初頭から現在までに発見されているVMware製品自体の脆弱性数は、前述のサードパーティコードの脆弱性数の約2倍である。加えて、VMware製品自体の脆弱性数がサードパーティコードの脆弱性数を上回っている
これら傾向を考慮すると、以下の解釈ができるという。
- 2006年ごろから始まった仮想化製品の一般化と実環境への展開がすすんだことが、仮想化技術の脆弱性を発見するひとつのモチベーションとなっている
- 仮想化ソフト、OS、アプリケーションの脆弱性を組み合わせて悪用することで、単一の物理システムへの侵入を許すことが、複数の仮想環境への侵入を許すことになる
- 「仮想化イコール安全」ということはありえない
IBM Internet Security Systemsでは、このような状況をふまえ、仮想化コンピューティング環境における新しい脅威の側面とその対策を考慮しながら、製品導入をすることが肝要であると説明している。
