Security NEWS TOPに戻る
バックナンバー TOPに戻る
お問い合わせ
お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。
はじめに
2025年3月12日(日本時間)に、VMware 製品に関するセキュリティ更新プログラム(月例)が発表されました。今回の更新プログラムでは、VMware ESXi、Workstation、Fusion などに影響を与える3つのゼロデイ脆弱性(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)が指摘され、重大なセキュリティリスクが懸念されています。これらの脆弱性が悪用されると、アプリケーションの異常終了や、攻撃者によるシステム制御など、深刻な被害につながる可能性があるため、直ちに最新バージョンへの更新が推奨されます。
各CVEの概要
CVE-2025-22224
概要
VMware ESXiとVMware Workstation における TOCTOU(Time-of-Check Time-of-Use)脆弱性です。
攻撃ベクトル
仮想マシンのローカル管理者権限を持つ不正な攻撃者が、VMXプロセスを経由してコードを実行できるため、ヒープ・オーバーフロー(heap overflow)が引き起こされる可能性があります。
リスク
深刻なシステム破損や不正なコード実行のリスクがあるため、CVSSスコアは9.3と非常に高い評価です。
対策
最新バージョンを直ちにインストールする必要があります。
参考情報
VMwareによると、当該脆弱性が積極的に悪用されていることが確認されています。
CVE-2025-22225
概要
VMware ESXiに存在する任意書き込みの脆弱性です。
攻撃ベクトル
VMXプロセス内で権限を持つ認証されていない攻撃者が、サンドボックスの制約を突破し、不正な書き込みを実行できる可能性があります。
リスク
深刻な権限昇格攻撃により、システム全体の制御が奪われる恐れがあります。
CVSSスコア
最大8.2
対策
最新バージョンを直ちにインストールする必要があります。
参考情報
VMwareによると、当該脆弱性が積極的に悪用されていることが確認されています。
CVE-2025-22226
概要
VMware ESXi、Workstation、および Fusion における情報漏洩リスクがある脆弱性です。
攻撃ベクトル
VMの管理者権限を持つ認証されていない攻撃者が、メモリ内容を不正に読み取る可能性があります。
リスク
機密データや秘密情報の漏洩により、企業内の情報セキュリティが大きく脅かされます。
CVSSスコア
最大7.1
対策
最新バージョンを直ちにインストールする必要があります。
参考情報
VMwareによると、当該脆弱性が積極的に悪用されていることが確認されています。
脆弱性への対策
最新のセキュリティパッチの適用
更新プログラムのインストール
VMware から提供される更新プログラムを速やかにインストールし、脆弱性を解消してください。
自動更新の利用
組織では更新管理システムや自動更新機能を活用し、パッチの適用状況を常に監視しましょう。
管理者アクセスの制御
アクセス制限
管理者権限のアクセスは、必要最小限に制限し、ログ監視や二要素認証などの追加セキュリティ措置を実施することが推奨されます。
定期的な脆弱性管理プログラムの実施
脆弱性診断
定期的な脆弱性診断と評価を通じ、システムの弱点を早期に発見し、対策を講じましょう。
インシデントレスポンス計画の策定
万が一の事態に備え、迅速な対応が可能なインシデントレスポンス計画を策定し、訓練を実施してください。
情報共有と最新動向の把握
業界情報の共有
セキュリティ業界の最新動向や専門家の意見を定期的に確認し、脆弱性対策に反映させることが重要です。
影響を受ける製品
今回の脆弱性は、以下のVMware製品に影響を与えます。
- VMware ESXi
多くの企業やクラウドサービスで利用される主要な仮想化プラットフォーム - VMware Workstation
デスクトップ上で仮想マシンを実行するためのソフトウェア - VMware Fusion
Mac上で他のオペレーティングシステムを実行するための仮想化ソフトウェア - VMware Cloud Foundation
クラウド環境向けの統合ソリューション - VMware Telco Cloud Platform
通信業界向けの専用ソリューション
これらの製品は、広範なシステムやインフラストラクチャに使用されているため、脆弱性が悪用されると企業全体への影響が大きくなる可能性があります。
まとめ
2025年3月に発表されたVMware製品向けのセキュリティ更新プログラムでは、CVE-2025-22224、CVE-2025-22225、CVE-2025-22226 の3つのゼロデイ脆弱性が指摘され、悪用されると深刻なシステム破損や権限昇格、情報漏洩などのリスクを引き起こす可能性があります。企業やシステム管理者は、VMwareから提供される最新のパッチを速やかに適用し、管理者アクセスの制限や定期的な脆弱性スキャンを実施することで、セキュリティリスクを最小限に抑えることが求められます。
【参考情報】
- Tenable
https://www.tenable.com/blog/cve-2025-22224-cve-2025-22225-cve-2025-22226-zero-day-vulnerabilities-in-vmware-esxi - Broadcom Support
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
Security NEWS TOPに戻る
バックナンバー TOPに戻る
サイバーインシデント緊急対応
ウェビナー開催のお知らせ
「ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~」
「予防で差がつく!脆弱性診断の話~脆弱性による脅威とその対策~」
「知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~」
最新情報はこちら
