2019年2月、Microsoftの「リモートデスクトッププロトコル」(RDP)に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。
Microsoftの「リモートデスクトッププロトコル」(RDP)の脆弱(ぜいじゃく)性は、同社のサーバ仮想化ソフトウェア「Hyper-V」とどのような関係があるのか。セキュリティベンダーのCheck Point Software Technologies(以下、Check Point)によれば、大いに関係があるという。
Check Pointが2019年2月に発見したRDPの脆弱性は、仮想マシン(VM)を管理する機能「Hyper-Vマネージャー」において「VMエスケープ」に利用される可能性があることが分かった。VMエスケープとは、攻撃者がVMから脱出してホストマシンにアクセスすることだ。
「RDPの脆弱性がHyper-Vの脅威になるとは考えていなかった」とCheck Pointは言う。RDPと、Hyper-VのVMは共通する技術を使っていることから、RDPの脆弱性に関する“膨大な数のコメント”として、RDPの脆弱性がHyper-Vに影響を及ぼす可能性についての質問が寄せられた。
「RDPの脆弱性がHyper-Vと関係があるとは思わなかった。だが驚いたことに、大きな関係があった」と、Check Pointの主任研究員を務めるヤニフ・バルマス氏は振り返る。
脆弱性研究者であるエイヤル・イトキン氏をはじめとするCheck Pointの研究者は、RDPの脆弱性と、それをHyper-Vに応用する方法を詳しく調べた。「『RDPなどのリモート接続用プロトコルを使えば、接続中は安全だ』という誤った認識がある」とバルマス氏は指摘する。実際、RDPの脆弱性はその認識に反していた。同氏によると、もし悪質なシステムにリモート接続してしまった場合、この脆弱性が原因となり、マルウェアが送り込まれる可能性がある。
この事実はHyper-VのVMにも当てはまる。RDPの脆弱性を利用することで、ゲストOSからホストOSへのVMエスケープが可能になることが、Check Pointの調査で判明した。つまり、悪意のある攻撃者がRDPの脆弱性を悪用してゲストOSのVMから抜け出し、マルウェアをホストOSに送り込むこともできる。
2019年8月開催のセキュリティカンファレンス「Black Hat USA 2019」に登壇したイトキン氏は講演で、こうした攻撃を「怠惰な横移動」と形容した。攻撃者は特定の環境の中でさまざまなシステムへの接続を試して積極的に動き回るのではなく、1つのシステムを制御し、標的がその「汚染されたRDPクライアント」に接続するのを待ってマルウェアに感染させ、認証情報を盗む手口を取る。
楽天グループが「楽天市場」出店店舗向けに「楽天AI大学」を公開
2024年3月より提供している店舗運営支援ツール「RMS AIアシスタント β版」に加え、AIツ...
中国発AIソーシャル工作のゾッとする実態をMicrosoftがレポート
Microsoftが中国を拠点とする影響力工作の増加についてのレポートを発表した。これは米国...
顧客の応募可能性をレシートで分析 読売新聞が新たな販促キャンペーンサービスを提供
システムインテグレーターのビーマップと同社子会社のMMSマーケティングは、読売新聞東京...