2015年6月1日

仮想化技術の脆弱性VENOM

ニュース 脅威

インターネットの広い範囲に影響を及ぼすバグが次々と報告されており、中でも最近見つかった脆弱性「VENOM」(ヴェノム)は、さまざまな方面で取り上げられています。VENOMは、仮想化という比較的新しい技術に存在する古いバグです。

仮想マシンは、コンピューター内で独立して動作するコンピューターです。いわゆるクラウドも、仮想マシンの巨大ネットワークにすぎません。VENOMを悪用すれば、1つの仮想環境から抜け出し、別の仮想環境でコードを実行できる恐れがあります。

Venom

一部の情熱的な(人騒がせな、と言ってもいいかもしれません)記者たちは、かの有名なOpenSSLの脆弱性Heartbleedより、VENOMの方が影響が大きいと叫んでいます。しかし、私としては、著名なセキュリティリサーチャーであるダン・カミンスキー(Dan Kaminsky)氏の見解が最も的確だと思います。

これが今のセキュリティ業界の実態です。大きなバグが見つかるたびに、ハッシュタグに使える名前が付けられ、専用のロゴまであります。そして、広報部門は史上最悪の脆弱性だと騒ぎ立てるのです

「新しいバグが登場すると、これまでのバグと比較して順位を付けようという動きが出てくるが、何か大事なものを見失っていると思う。アイアンマンvsキャプテン・アメリカとは違う。アベンジャーなんかじゃない。これは科学なんだ」。カミンスキー氏は、ThreatpostのDigital Undergroundポッドキャストで、デニス・フィッシャー(Dennis Fisher)に対し、このように語りました。

これが今のセキュリティ業界の実態です。大きなバグが見つかるたびに、ハッシュタグに使える固有の名前が付けられ、専用のロゴまであります。そして、広報部門は史上最悪の脆弱性だと騒ぎ立てるのです。

カミンスキー氏は先述のポッドキャストで、次のように説明しました。「厄介なバグが見つかる。確かに厄介だが、僕らは解決に向けて取り組む…実際、これは大きな問題だったんだよ。(それを)僕らが調査して修正した。事態はもっとひどかった。(それを)僕らが個人的に動き回り、個人としてできることをすべてやって、それで今、この問題を公に話している、残りのところを何とかするためにね。これが僕らの商売だ」

同氏はVENOMの重大度を軽視しているわけではありません。実際、かなり深刻なバグです。仮想化と仮想マシンは、現代のインターネットに欠かせない重要な役割を担うようになっています。サービスプロバイダーは、仮想マシンを利用したクラウドコンピューティングへの依存度をかつてないほど上げています。その主な理由は、Amazonから仮想スペースを買う方が、自社でサーバーファームを持つより安く済むからです。したがって、高度な技術を持つ攻撃者であれば、クラウドサービスプロバイダーからスペースを購入し、その仮想環境から抜け出して、同じホスト内で動作する他の仮想マシンに移動できます。

さらに、このバグはマルウェアのアナリストにも影響する可能性があります。多くのマルウェアアナリストは、仮想マシンを意図的にマルウェアに感染させ、隔離された安全な環境でマルウェアの仕組みを調べます。VENOMのせいで、マルウェアが隔離された環境から出て、ネットワークに接続された他のコンピューティングスペースに侵入する可能性があるのです。

先ほども書いたように、VENOMは古いバグです。実際には、広く利用されている仮想化プラットフォームに含まれる仮想フロッピーディスクコントローラーに存在します。そう、フロッピーディスクです。コメント欄で、最後にフロッピーを使ったのがいつだったか教えてください。もちろん、まだ動くコンピューターにフロッピーディスクドライブが搭載されているのを見かけた、というコメントも大歓迎です。

ポッドキャストの前に公開されたニュース記事のインタビューで、カミンスキー氏はThreatpostのフィッシャーに対し、VENOMは悪用にお金がかかるバグだと語りました。攻撃者はプロバイダーからクラウドスペースを買い、それからVENOMを利用して、同じプロバイダーを使う標的のクラウドスペース内でローカル権限を手に入れます。カミンスキー氏によると、強力なハードウェア隔離サービスを別料金で提供しているクラウド企業もあり、攻撃者の先を行くために、この追加料金を払う価値はあるそうです。

参考までに、VENOMは「Virtualized Environment Neglected Operations Manipulation」の略で、CrowdStrikeのシニアセキュリティリサーチャー、ジェイソン・ジェフナー(Jason Geffner)氏が発見しました

いつものことですが、一般の利用者が身を守るためにできることはあまりありません。クラウドサービスや他の仮想化技術のプロバイダーができるだけ早く問題を修正するように願うくらいでしょう。とはいえ、明るい材料が2つあります。1つは、影響を受けるベンダーの大半が、このバグへのパッチをすでにリリースしていること。もう1つは、新たな概念実証によって、VENOMの悪用は当初考えられていたより難しいと判明したことです。

一般のインターネットユーザーの立場なら、現在はインターネット上の至るところで仮想化が利用されていることを知っておけばよいでしょう。