被害例に見る“仮想化環境”のリスクと対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

被害例に見る“仮想化環境”のリスクと対策

2013/06/18


 企業システムに仮想化技術が浸透し、数多くのサーバが限られた数の物理サーバ上で運用されるようになった。現在では基幹系システムの一部のような事業への影響が大きな業務が仮想化環境内で行われることが珍しくなくなってきており、重要度の高まりとともに仮想化環境のセキュリティに対する不安も増大しているようだ。なにしろ、多くの業務サーバが限られた数の物理サーバ上の仮想化ツール上で稼働しているのだから、万が一にも仮想化ツールが攻撃者の手に落ちたら、業務はおろか事業そのものが危機に瀕することになりかねない。
 今回は、広がる仮想化環境で想定すべきリスクと、その対策を紹介していく。

仮想化

仮想化ツールの脆弱性を攻撃される可能性と運用の問題点

 仮想化は企業内に乱立する物理サーバを集約・統合してシステムコストと運用管理コストの両方を低減するための決め手として、あるいはコスト最適な形で急増するアクセスに柔軟に対応するためのシステム基盤として、重要な役割を果たしている。しかし、従来からの物理サーバの運用管理とは異なる管理手法が必要になるため、特有の弱点がないとは言えない。例えば次のような懸念事項や被害事例がある。

■従来からの対策によるネットワーク上での脅威の排除が難しい!
 物理環境ではファイアウォールやIPS/IDSをネットワーク内に配置して不正な通信をフィルタリングする対策がとられている。しかし仮想化サーバ間は物理サーバの内部で仮想化されたネットワークを使用するため、そこに従来からのセキュリティ機器を間にはさむことができない。通信は物理サーバ内で極めて効率的に行われる反面、その分いったん攻撃が成功してしまったらたちまち被害が波及・拡大することが予想される。

■88もの仮想サーバが数分で消えた!内部からの攻撃により仮想サーバの削除や変更、情報窃取が容易に
 仮想サーバは遠隔地の管理コンソールによって多数を集中管理することができる。これが大きな利点の1つなのだが、逆に見れば管理者は集中管理対象の仮想サーバなら、どの部門の業務サーバであっても簡単に削除・変更できることになる。実際に国内企業のアメリカ子会社で15の仮想化ホスト上の88の仮想サーバを突然“削除”される事件が起きている。犯人はトラブルを起こして解雇された元従業員で、ファーストフード店から解雇後も無効にされていなかった特権アカウントを利用して管理システムに不正アクセスし、わずか数分でこの攻撃を成功させたという。犯人は禁固刑に処されるとともに80万ドルを超える損害賠償命令が行われたが、会社側はEメールや受注システム、入金システムなどが使用不能になって長期にわたる業務停止が避けられなかった。
 システムへの自由なアクセスができる管理者権限(特権ID)について特段の管理を実施していれば避けられたケースかもしれないが、管理者のオペレーションミスによっても同様の事態が起こりうる。また万一、特権IDのアカウントが外部の攻撃者の手に渡れば、実際にはファイルとして存在している仮想ディスクの中味もすべて読みとられるし、仮想ネットワークを通る情報、メモリ上だけにある情報も窃取されかねないと考える必要がある。

仮想化ツールの脆弱性を攻撃される可能性が!
 代表的な仮想化ツールは、物理サーバのOS上に「ハイパーバイザ」と呼ばれる制御用ソフト(仮想化ツール/仮想マシンモニタ/仮想OS/VMMとも呼ぶ)をかぶせるように乗せ、ハイパーバイザ上に仮想マシンをいくつも作成できるようにしたものだ。仮想マシンには「ゲストOS」が載せられ、その上に仮想サーバが載る。
 ハイパーバイザやその上に載るいくつもの仮想マシンの管理は、ハイパーバイザ上の1つの仮想マシンが持つ「管理OS」によって行われる。この管理OSが万が一にも攻撃者に攻略されると、ハイパーバイザ上の仮想サーバの全体が危機に瀕することになる。
 例えば、攻撃者がどれか1つのゲストOSにアクセスし、ゲストOSのデバイスドライバに対して様々な入力を試行し、仮想化ツールに潜在している脆弱性と相まって同等のデバイスドライバをもつ管理OSを操る権限を奪取して、悪意のあるコードをロードするような攻撃が想定される(図1)。

図1 仮想化サーバのゲストOSからハイパーバイザを通して管理OSを攻撃
図1 仮想化サーバのゲストOSからハイパーバイザを通して管理OSを攻撃
リスクマネジメントの用語法によれば、損失をもたらす攻撃のような直接的な原因を「ペリル」と呼び、インシデントをもたらし易い環境のような間接的な要因を「ハザード」と呼ぶ。仮想化ツールの脆弱性は、攻撃に起因する影響を間接的に広めかねない「ハザード」として働いてしまう。

仮想サーバが同一のCPUキャッシュメモリを共有することによる情報漏洩の可能性!
 物理サーバのCPUを複数の仮想サーバが共用することになるので、攻撃者がどれかの仮想サーバにアクセスし、連続してキャッシュ操作を行って反応時間を計測することで他の仮想サーバが何を行っているかを推定可能だとされている。この手法では暗号鍵などの情報が攻撃者の手に渡る可能性が指摘されており、もし成功すれば重大な情報漏洩危機を招きかねない。

仮想サーバのライブマイグレーションの過程でのマルウェア混入の可能性!
 システムの柔軟性や可用性を求めるときに重宝するのが仮想化ツールの持つライブマイグレーション機能だ。これは物理サーバが障害を起こした場合などに、OSを起動した状態のまま別の物理サーバ上に移動して業務を継続できる仕組みだ。仮想サーバを複製して他の物理サーバ上にスケールアウトすることもできる。しかしその仮想サーバのイメージを他の物理サーバに転送するときを狙い、ルートキット(VM-based rootkit、VMBR)などの悪意あるソフトウェアを挿入される可能性が指摘されている。VMBRの場合はゲストOSの下層に入り込み、VMBR上で仮想サーバが動作する形になるためユーザが発見することが難しく、知らぬ間に情報漏洩や設定変更などあらゆる不正を働かれる可能性がある。

休眠仮想サーバやサーバイメージのメンテナンス漏れによる脆弱性を狙う攻撃の可能性!
 仮想サーバは作成が容易なだけに、数多くのサーバが業務部門や開発部門の必要に応じて気軽に作成されることが多い。必要がなくなり次第削除してくれればよいが、実際には使われないまま残る仮想サーバも多いようだ。情報システム部門が整理をすることになるが、必ずしも適切に管理が行き届かない場合も多い。また仮想サーバのディスク内容は仮想マシンイメージとしてファイルの状態で保管し、必要なときに複製して使う場合があるが、このときに仮想マシンイメージにセキュリティパッチなどのメンテナンスを適切にしていないと、作成した仮想サーバは脆弱性を持つことになる。外部との通信や内部に潜むウイルスなどで脆弱性を攻撃されると障害や情報漏洩に結びつく可能性が高くなる。また脆弱性がある仮想サーバを踏み台に仮想化ツールを攻撃することも可能になってしまう。

 このような仮想化環境のセキュリティへの不安に対しては、仮想化技術上の問題の解消と、運用上の問題の解決とが必要になる。具体的にどのような対策がありうるのかを以下で考えてみる。


1

仮想化環境のセキュリティを確保するために

1-1

CPUのリングアーキテクチャによる保護機能を破った仮想化

 上の例のようなセキュリティ上の問題のいくつかは、そもそも仮想化を前提にして作られてこなかったコンピュータの構造に問題があるとも考えられる。現在のコンピュータの最低限のセキュリティは、CPUの「リングアーキテクチャ」が担っている(図2)。

 この同心円(リング)は、CPUのユーザモードを表しており、それぞれのリングでCPUに指令が下せる権限が違う。すべての指令権限を持つモードが中心にあるカーネルモードと呼ばれるリング0であり、OSはこのモードで動作する。リング0の外側のリングでは指令権限が制限されていて、アプリケーションがシステムを破壊するような振る舞いをしたとしても実行は食い止められるようになっている。これがセキュリティの最後の砦と見なされてきた。
 しかし、仮想化ツールはこのリング0に入り込んだ。その外側のリング1およびリング2という少し低い特権ユーザモードをゲストOSが使う。さらにその外側に位置するリング3ではアプリケーションが動作する。アプリケーションやゲストOSが行うことは一度仮想化ツールに受け止められ、リング0の特権を利用して物理サーバのOSまたはハードウェアに伝えることになる。言葉を替えれば仮想化ツールはCPUの全リソース、全メモリ空間、全入出力インターフェースへのフルアクセスが行えるということで、つまり仮想化ツールが攻略できれば、システム破壊や情報窃取などどんな攻撃でもできてしまうというわけだ。
 現在では、Intel-VTやAMD-VといったCPU自身の仮想化対応技術によってリング0上で仮想化ツールを効率的に動作させることができるようになり、仮想化ツールを介することによる性能劣化の問題解消が図られているものの、仮想化ツールの脆弱性をカバーすることまでは実現できていない。

図2 CPUリングアーキテクチャのイメージ
図2 CPUリングアーキテクチャのイメージ

 とはいえ、ITのリスクはリスクマネジメントで言うところの情報資産に対するペリル(直接的原因)とハザード(脆弱性など間接的要因)が両方存在しないと具現化しない。脅威は常に外部や内部に明らかに、時には潜在的に存在すると考えてよいだろう。では仮想化ツールの脆弱性はどうだろうか。

セキュリティ情報局にご登録頂いた方限定で「被害例に見る“仮想化環境”のリスクと対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


仮想化/被害例に見る“仮想化環境”のリスクと対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「仮想化」関連情報をランダムに表示しています。

仮想化」関連の製品

HP Moonshot HDI シンクライアントソリューション 【アクシオ】 Logstorage(ログストレージ) 【インフォサイエンス】 ITインフラのサイロ化をどう防ぐ? ハイブリッド環境で問われる真の俊敏性 【日本ヒューレット・パッカード】
シンクライアント 統合ログ管理 垂直統合型システム
HDI(Hosted Desktop Infrastructure)は、継続したパフォーマンスを提供できるハードウェア占有型のシンクライアントソリューション。ネットワーク分離用途にも適用可能。 企業内やクラウド上に分散するITシステムのログデータを自動収集、統合管理することにより、セキュリティ対策、運用負荷の軽減を実現する純国産の統合ログ管理製品。 ITインフラのサイロ化をどう防ぐ? ハイブリッド環境で問われる真の俊敏性

仮想化」関連の特集


Windows Azureはもともと、Windowsとの親和性の高さを特長としてスタートした。現在で…



 連載最終回の本稿ではデータ保護に関する包括的ソリューションの本当の意義について述べたいと思います。…



「アプリケーションサーバパッケージ」の市場規模と市場占有率はこちらから!シェア上位ベンダの動向とあわ…


仮想化」関連のセミナー

第2回 ハイパーコンバージド 「Nutanix」深わかりセミナー 【CSIソリューションズ/ニュータニックス・ジャパン】 注目 

開催日 4月21日(金)   開催地 東京都   参加費 無料

  ハイパーコンバージド・インフラストラクチャー、略して HCI 。最近聞かれるようになったこの言葉をご存知でしょうか?HCIの代表格と言えば「Nutanix」…

vSAN検証ならネットワールドにお任せ!POCサービス始めました 【ネットワールド】  

開催日 4月11日(火)   開催地 大阪府   参加費 無料

ヴイエムウェアの主力製品の1つであるvSAN を通じてビジネスを展開している、パートナーの皆様必見のセミナーです。これにあわせてネットワールドでは、独自サービス…

次世代の企業ITインフラを支えるエンジニアとは 【グローバルナレッジネットワーク】 締切間近 

開催日 3月31日(金)   開催地 東京都   参加費 無料

一般的なITシステムでは、ネットワーク、OS、ミドルウェア、アプリケーションといった階層で構成され、多くの場合階層ごとに担当者が異なります。しかし、クラウドサー…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005895


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ