JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月6日、「VMware ESXiを標的としたランサムウェア攻撃について」において、VMware ESXiが稼働するサーバを標的としたランサムウェア攻撃キャンペーンが展開されていると伝えた。日本も標的になる恐れがあることから、注意が呼びかけられている。

サイバー攻撃キャンペーンに関する情報は次のページにまとまっている。

  • Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi – CERT-FR

    Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi – CERT-FR

この攻撃キャンペーンは2年前に特定された脆弱性「CVE-2021-21974」が悪用されていると分析されている。この脆弱性はすでに「VMSA-2021-0002 - VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)」において修正版が公開されている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • VMware ESXi 7.0系 Update 1cより前のバージョン(ESXi70U1c-17325551パッチ未適用)
  • VMware ESXi 6.7系 ESXi670-202102001より前のバージョン(ESXi670-202102401-SGパッチ未適用)
  • VMware ESXi 6.5系 ESXi650-202102001より前のバージョン(ESXi650-202102101-SGパッチ未適用)
  • VMware Cloud Foundation 4系 4.2より前のバージョン
  • VMware Cloud Foundation 3系 KB82705未適用のバージョン

JPCERT/CCは、CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)のアラートなどでは明記されていないものの、VMware ESXi 6.0系や5.5系も同攻撃の被害を受けており、6.5系よりも前のサポート対象外のバージョンも影響を受ける可能性があることを指摘している。

VMweareは2年前にこの脆弱性の緩和策の説明やアップデートの提供を行っている。今後日本の組織もこの脆弱性を突いたサイバー攻撃を受ける恐れがあることから、該当するバージョンを使用している場合は情報を確認するとともに迅速にアップデートや回避策を適用することが望まれる。