Multiple Oracle VM VirtualBox Vulnerabilities Enable Complete Takeover Of VirtualBox
2025/10/23 CyberSecurityNews — Oracle が公表したのは、仮想化ソフトウェア Oracle VM VirtualBox に存在する複数の深刻な脆弱性の情報である。それらの脆弱性を悪用する攻撃者は、VirtualBox 環境を完全に制御する可能性を得る。高権限を持つローカル・ユーザーが攻撃に悪用すると、機密性/完全性/可用性が侵害され、壊滅的な結果が引き起こされる恐れがある。2025年10月の CPU (Critical Patch Update) で詳細が明らかにされた、一連の脆弱性が影響を及ぼす範囲は、VirtualBox バージョン 7.1.12/7.2.2 のコア・コンポーネントである。
それらの脆弱性が浮き彫りにするのは、仮想化プラットフォームにおける継続的なリスクである。ローカル・アクセスであってもスコープの変更が可能であるため、広範なシステムに影響が及ぶ可能性がある。専門家たちが警告するのは、これらの脆弱性が完全な乗っ取りのシナリオを可能にする点であり、開発/テスト/安全な分離の目的で VirtualBox に依存しているユーザーは、速やかなパッチの適用が不可欠となる。
現時点において悪用の証拠は確認されていないが、高い CVSS スコアが緊急性を示している。また、悪用には高権限とローカル・アクセスが必要になるが、不正なデータ・アクセスやサービス拒否攻撃の可能性があるため、Oracle は深刻な脅威であると勧告している。
脆弱性の詳細と影響を受けるバージョン
2025年10月の CPU では、VirtualBox コアに存在する 9 件の CVE が対処されている。これらの問題は、いずれも不適切な権限処理と安全ではない操作に起因し、リモート認証を必要としないローカル攻撃に分類されている。標的インフラへのログオン権限を有する攻撃者が、制御権を昇格させる可能性があるため、きわめて危険である。
最も深刻な CVE-2025-62587~CVE-2025-62590/CVE-2025-62641 は、CVSS 3.1 で 8.2 と評価されており、高リスクであることを示している。具体的に言うと、攻撃の複雑度が低く、攻撃スコープの変更が可能である。
以下の表は、Oracle のリスク・マトリックスに基づき、CVE/影響を受ける製品/スコア/影響内容をまとめたものである:
| CVE ID | Product | Component | Remote Exploit without Auth.? | CVSS VERSION 3.1 RISK | Supported Versions Affected | Notes | Base Score | Attack Vector | Attack Complex | User Interact |
|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-62587 | Oracle VM VirtualBox | Core | No | 8.2 Local | 7.1.12, 7.2.2 | 8.2 | Local | Low | None | |
| CVE-2025-62588 | Oracle VM VirtualBox | Core | No | 8.2 Local | 7.1.12, 7.2.2 | 8.2 | Local | Low | None | |
| CVE-2025-62589 | Oracle VM VirtualBox | Core | No | 8.2 Local | 7.1.12, 7.2.2 | 8.2 | Local | Low | None | |
| CVE-2025-62641 | Oracle VM VirtualBox | Core | No | 8.2 Local | 7.1.12, 7.2.2 | 8.2 | Local | Low | None | |
| CVE-2025-62590 | Oracle VM VirtualBox | Core | No | 8.2 Local | 7.1.12, 7.2.2 | 8.2 | Local | Low | None | |
| CVE-2025-61760 | Oracle VM VirtualBox | Core | No | 7.5 Local | 7.1.12, 7.2.2 | 7.5 | Local | High | Required | |
| CVE-2025-61759 | Oracle VM VirtualBox | Core | No | 6.5 Local | 7.1.12, 7.2.2 | 6.5 | Local | Low | None | |
| CVE-2025-62591 | Oracle VM VirtualBox | Core | No | 6.0 Local | 7.1.12, 7.2.2 | 6.0 | Local | Low | None | |
| CVE-2025-62592 | Oracle VM VirtualBox | Core | No | 6.0 Local | 7.1.12, 7.2.2 | 6.0 | Local | Low | None |
脆弱性 CVE-2025-61759/CVE-2025-62591/CVE-2025-62592 などの深刻度は 6.0~6.5 であり、機密性の侵害による情報漏洩の可能性があるが、完全性/可用性への影響はない。
これらの脆弱性はローカル・アクセスを必要とするが、スコープ変更により VirtualBox の外部へと影響が波及する可能性がある。したがって、悪用により VirtualBox 環境が完全に乗っ取られ、機密性の高い仮想マシン・データが漏洩し、隔離されたシステム全体にマルウェアが蔓延する恐れがある。
これらの脆弱性は、データ漏洩/ランサムウェア侵入/ネットワーク内でのラテラル・ムーブメントなどを引き起こすため、開発パイプラインや軽量ハイパーバイザーとして VirtualBox を使用している企業に大きなリスクが生じている。
信頼できないゲスト OS を実行している場合には、開発者たちの個人データが漏洩に直面する可能性がある。完全性/可用性への影響が大きいため、クラッシュや不正な変更により、ワークフローが中断される恐れがある。
公開 PoC の存在は確認されていないが、これまでの仮想化技術に関するバグとの類似性から、標的型攻撃への懸念が高まっている。
緩和策
Oracle がユーザーに対して強く推奨するのは、公式ダウンロード・ポータルから入手できる 2025年10月の CPU パッチを直ちに適用することだ。迅速なパッチ適用が不可能な場合の、一時的な回避策として挙げられるのは、ログオン権限の制限やシステム整合性の定期的な検証である。
ユーザー組織にとって必要なことは、パッチを適用した上で、最小権限によるアクセスと高権限アカウントの監視を徹底し、VirtualBox のコンフィグにおける不要な露出を監査することである。さらに、未使用の機能を無効化し、VirtualBox インスタンスをセグメント化されたネットワークで隔離することでリスクを軽減できる。
一連の Oracle の脆弱性ですが、VirtualBox のコア・コンポーネントにおける権限処理の不備が原因のようです。本来は分離された環境で動作するはずの仮想マシンが、内部の権限昇格バグにより、ホスト側の制御権が奪われる可能性があるとされます。ローカル・アクセスを持つユーザーが、高権限で悪用できる構造になっており、仮想化の安全境界が崩れる危険があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Oracle で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.