VMware ESXi の脆弱性 CVE-2025-22224/22225/22226:ランサムウェアによる悪用を CISA が確認

CISA Warns of VMware ESXi 0-day Vulnerability Exploited in Ransomware Attacks

2026/02/05 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が確認したのは、 VMware ESXi の深刻なサンドボックス・エスケープの脆弱性 CVE-2025-22225 を、ランサムウェア・グループが積極的に悪用していることだ。この欠陥は 2025年3月に Broadcom により修正されたが、仮想マシンの分離を回避する攻撃者による、ハイパーバイザ全体へのランサムウェア展開が行われている。

脆弱性 CVE-2025-22225 は、VMware ESXi におけるメモリへの任意書き込みの欠陥に起因するものであり、CVSS スコア 8.2 (Important) と評価されている。VMX プロセス内で特権を持つ脅威アクターは、カーネルへの任意書き込みをトリガーし、サンドボックスを脱出してハイパーバイザ制御を獲得できる。

その一方で、ヒープ・オーバーフローの脆弱性 CVE-2025-22224 (CVSS:9.3) および情報漏えいの脆弱性 CVE-2025-22226 (CVSS:7.1) という 2 件のゼロデイも、2025年の初頭から実環境で悪用されている。2025年3月4日に CISA は、CVE-2025-22225 を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関に適用される BOD 22-01 に基づき、2025年3月25日までの修正を義務付けていた。

CVE IDCVSS ScoreDescriptionAffected Products
CVE-2025-222249.3Heap overflow in VMCI driverESXi 7.0, 8.0; Workstation 17.0
CVE-2025-222258.2Arbitrary kernel write via VMXESXi 7.0, 8.0
CVE-2025-222267.1HGFS memory leakESXi, Workstation, Fusion

2026年2月3日の最新アップデートにおいて CISA は、この脆弱性がランサムウェア・キャンペーンで悪用されていると指摘したが、関与するグループの詳細は公表していない。攻撃者たちは、複数の脆弱性を連鎖させることで完全な VM エスケープを実現し、機密データを保持するエンタープライズ・ハイパーバイザを標的としている。

ランサムウェア・アクターは、管理者権限を悪用して仮想マシンへの初期侵害を達成した後に、VMCI ドライバを無効化した上で、署名されていないカーネル・ドライバのロードにより VMX メモリを漏洩させ、ASLR を回避している。その結果として、VSOCKpuppet などのステルス性の高いバックドアが展開され、ネットワーク監視を回避しながら、ハイパーバイザに対する永続的な制御を確立している。

先行インシデントとしては、2024年2月以降に中国由来の脅威アクターが、侵害済みの SonicWall VPN を起点として、このエクスプロイト・チェーンを悪用し、データ窃取およびランサムウェア展開の準備を段階的に進めていたことが挙げられる。

Broadcom の VMSA-2025-0004 アドバイザリでパッチが公開された時点で、すでに実環境での悪用が確認されていた。

スキャン結果によると、41,500 台超の公開 ESXi インスタンスが依然として脆弱な状態にあり、ランサムウェア・リスクを大きく高めている。セキュリティ企業の Huntress は、155 種類の ESXi ビルドを標的とするツールキットの存在を報告しており、1 年以上前から開発が進められていたことが、PDB パスの分析から示唆されている。

ESXi 7.0/8.0 および関連製品に対しては、Broadcom が提供するパッチの速やかな適用が強く求められる。CISA のガイダンスに従い、ベンダ推奨の緩和策を実装するとともに、BOD 22-01 を遵守し、修正不可能なシステムについては廃止を検討すべきである。それに加えて、防御強化策として、VMX 異常に対する EDR 監視/VM 管理者権限の制限/署名なしドライバ/VSOCK トラフィックといった侵害指標のスキャンを実施する必要がある。

VMware ESXi はエンタープライズ環境で広く使用されていることから、過去のキャンペーンと同様に、ランサムウェアにとって極めて魅力的な侵入経路となっている。その背景にあるのは、国家支援型の脅威およびサイバー犯罪の増加である。したがってユーザー組織は、ハイパーバイザへのパッチ適用を最優先事項とすべきである。未修正のシステムは、インフラ全体の暗号化およびデータ窃取という深刻なリスクに直面し続ける。

VMware ESXi における深刻な脆弱性が、ランサムウェア攻撃で悪用されていると、CISA が警告を出しています。この問題の原因は、ハイパーバイザのメモリ管理に関する設計上の不備にあります。具体的には、脆弱性 CVE-2025-22225 を悪用することで、仮想マシンのサンドボックスを突破し、管理下の全システムを制御するハイパーバイザへ直接アクセスできてしまう “VMエスケープ” が可能になってしまいます。この不備に加えて、管理者権限の不適切な運用や、CVE-2025-22224 などの複数の欠陥を組み合わせる攻撃手法により、本来守られるべき仮想マシン同士の境界が無効化されます。現在も、パッチ未適用のシステムが存在し、この攻撃の潜在的な標的にされていると、CISA は注意を促しています。よろしければ、CVE-2025-22225 での検索結果も、ご参照ください。