VMware ESXi へのランサムウェア攻撃を検知/防止:Splunk がリリースするセキュリティ・ガイドとは?

Splunk Release Guide for Defenders to Detect Suspicious Activity Before ESXi Ransomware Attack

2025/08/14 CyberSecurityNews — VMware ESXi インフラを標的とする攻撃を検知し、ランサムウェアによる壊滅的な被害を引き起こされる前に防御するための、詳細なセキュリティ・ガイドが、Splunk からサイバー・セキュリティ・チームに対して公開された。このガイドは、VMware の ESXi ハイパーバイザー・システムに対する、脅威の高まりに対応するために作成されたものだ。これらの標的とされるシステムは、集中管理されたシステムであり、多くの場合において監視が不十分であり、サイバー犯罪者たちの主要なターゲットとなっている。

この包括的なセキュリティ・ガイドが提供するのは、技術的な検出戦略/コード/エグザンプル/コンフィグ・ガイダンスなどであり、仮想化された環境全体を数日で暗号化する可能性があると想定される、壊滅的な攻撃に対する防御を強化できるよう組織を支援するものだ。

主なポイント
  • Splunk は、VMware ESXi 上の不審なアクティビティを特定するための、検出クエリを公開した。
  • このガイドでは、Syslog 転送により ESXi ログを監視する方法について、技術的な実装コードを用いて解説している。
  • 環境全体を迅速に暗号化する可能性のあるランサムウェア・グループにとって、ESXi ハイパーバイザーは主要な標的とされている。
ESXi ランサムウェア攻撃ガイド

研究者たちが作成したのは、悪意の ESXi アクティビティを包括的なログ監視を介して特定する、特別に設計された広範な分析シナリオである。

このガイドが強調するのは、ESXi ログ機能を設定して、Syslog データを外部システムに送信することの重要性である。特に、コンテナ化された Syslog-ng サーバに対して、事前コンフィグ済みのフレームワークを提供する、Splunk Connect for Syslog が重要となる。

ユーザー組織が実装できるものには、Universal Forwarders やダイレクトな取り込み機能を備えた専用 Syslog サーバなどの、さまざまな方法による監視機能がある。

この検出フレームワークには、偵察活動を標的とする、高度なクエリが取り込まれている。たとえば、System Information Discovery 検出は、ESXCLI システム・レベル・コマンドを識別する:

esxi_syslog Message=”system” AND Message=”esxcli” AND Message IN (“get”,”list”) AND Message=”user=” NOT Message=”filesystem

System information discovery
System information discovery

その他の重要な検出機能は、不審なアカウント・アクティビティを監視するものである。たとえば、外部ルート・ログイン試行/ロール管理者パラメータを指定する esxcli システム権限セットなどのコマンドによる、不正な管理者ロールの割り当てが対象となる。

User granted Admin role
User granted Admin role
ESXi ログ監視

このガイドが説明するものには、セキュリティ・チームによる効果的な監視が必要となる、重要な ESXi ログの種類についての詳細がある。

  • Shell ログ:標準のシェル操作と esxcli とのインタラクションを含む、実行済のコマンドを記録する。
  • Hostd ログ:ホスト管理サービスのアクティビティ/仮想マシンのライフサイクル・イベント/認証試行を記録する。
  • VMK 警告ログ:警告レベルのイベントに重点を置く、フィルタリングされた VMkernel ビューを提供する。
  • ESXi 更新ログ:不正なバックドア・インストールの可能性がある、VIB (vSphere Installation Bundle) のインストールを追跡する。

重要な検出機能には、VIB 受け入れレベルの改ざん監視も含まれる。それにより、esxcli ソフトウェア受け入れ設定コマンドや、SSH 有効化検出、NFC プロトコルの不正使用による仮想マシン・エクスポート監視などへの、クエリが可能になる。

Syslog Config Change
Syslog Config Change

このフレームワークが対処するものには、esxcli システム監査レコード・コマンドを使用した監査改ざんや、ログ収集を妨げる可能性のある Syslog コンフィグ変更、インジケータ削除などの検出もある。

高度な機能としては、NTPClock モニタリングによるシステム・クロック操作の検出がある。それにより、検出メカニズムを回避しようとする高度な脅威アクターが、一般的に使用するタイム・スタンプ回避の手法が特定されるという。

VMware ESXi 環境を狙うランサムウェアに対応するための、かなり実践的な内容の、Splunk ガイドが公表されたようです。個々の脆弱性に対応するものではなく、攻撃者が侵入後に行う行動をログで検知する方法に重点が置かれているようです。あまり見たことのない、とてもユニークなものですが、いまの時代を反映するものとも言えます。よろしければ、VMware ESXi で検出も、ご参照ください。