サイバーリーズンでは、新たな脅威を調査し、脅威から身を守るための実践的な推奨事項をお客様に提供するために、脅威分析レポートを発行しています。今回の脅威分析レポートでは、最近発見されたVMware製品の3つのゼロデイ脆弱性に関する調査結果について紹介します。

重要なポイント

• VMware製品に3件のゼロデイ脆弱性が発見され、CVE-2025-22224、CVE-2025-22225、CVE-2025-22226として追跡されています。
• VMware ESXi、VMware Workstation Pro / Player (Workstation)、VMware Fusion、VMware Cloud Foundation、VMware Telco Cloud Platformなど、サポート対象および非サポート対象のほぼすべてのVMware製品が影響を受けます。
• これらの3つの脆弱性を連鎖させることで、攻撃者は「子」仮想マシン（VM）から脱出または「脱走」し、「親」ESXiハイパーバイザーにアクセスし、他のアクセス可能なVMにアクセスしたり、公開されたVMwareクラスタの管理ネットワークにアクセスしたりできる可能性があります。
• 直ちにVMware by Broadcomのマトリックスに記載されている「修正バージョン」にアップグレードすることをお勧めします。

背景

CVE-2025-22224、CVE-2025-22225、CVE-2025-22226として追跡されている3件のゼロデイ脆弱性が、VMwareのほぼすべてのサポート対象製品および非サポート対象製品で発見されています。これらの脆弱性のCVSSv3.1スコアは、それぞれ9.3（クリティカル）、8.2（重要）、7.1（重要）です。

影響を受ける製品には、VMware ESXi、VMware Workstation Pro / Player（Workstation）、VMware Fusion、VMware Cloud Foundation、VMware Telco Cloud Platformが含まれます。各製品の影響を受けるバージョンの詳細については、VMware by Broadcomのマトリックスをご覧ください。VMwareによると、これら3つの脆弱性は、「野放し」の状態で積極的に悪用されていることが確認されています。

これらの3つの脆弱性を連鎖させることで、攻撃者は「子」仮想マシン（VM）から脱出または「脱走」し、「親」ESXiハイパーバイザーにアクセスし、他のアクセス可能なVMにアクセスし、さらに公開されたVMwareクラスタの管理ネットワークにアクセスできる可能性があります。

VMware製品に3つのゼロデイ脆弱性は何を意味するのか？

各従業員（またはシステム）がそれぞれ施錠されたオフィス（VM）で働き、セキュリティカメラ（EDR）がオフィス内の活動を監視している、セキュリティの高いオフィスビルを想像してみてください。脅威行為者が監視されたオフィスに侵入する方法を見つけた場合、セキュリティカメラは彼らがオフィス内で動き回ったりツール（スクリプト）を使用したりするのを捉えるかもしれません。しかし、もし彼らがこれら3つの脆弱性を一緒に活用すれば、オフィスからセキュリティカメラで監視されていないビルのメインセキュリティコントロールルーム（ハイパーバイザー）へ瞬時に直接移動することができます。

このようなVMエスケープ攻撃は、しばしば国家や組織・電子犯罪グループが最も求めている能力です。これらの攻撃は、特権昇格の試みを回避し、侵入経路からの従来の「ノイズ」を大幅に減らすことができるため、望ましいものです。

VMware製品および製造終了バージョンはBroadcomの勧告に含まれておらず、セキュリティパッチもリリースされません。そのため、影響を受ける製品のサポート終了バージョンにもこれらの脆弱性が存在する可能性があります。サイバーリーズンでは、関連製品を重要なセキュリティアップデートを受けることができるサポート対象バージョンにアップグレードすることを推奨しています。

脆弱性の詳細

■CVE-2025-22224

• CVSS スコア: 9.3 (クリティカル)
• この脆弱性はTOCTOU(Time-of-Check Time-of-Use)として知られており、境界外の再書き込みを許す可能性があります。
• 仮想マシンのローカル管理者権限を持つ不正な攻撃者がこの脆弱性を悪用し、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行する可能性があります。

■CVE-2025-22225

• CVSS スコア: 8.2 (重要)
• VMXプロセス内で権限を持つ認証されていない攻撃者が、任意のカーネル書き込みをトリガーし、サンドボックスの回避につながる可能性があります。

■CVE-2025-22226

• CVSS スコア: 7.3 (重要)
• この脆弱性は、HGFSの境界外読み出しによる情報漏洩の脆弱性です。
• VMの管理者権限を持つ認証されていない攻撃者は、この脆弱性を悪用してvmxプロセスからメモリをリークできる可能性があります。

サイバーリーズンによる推奨事項

複数の顧客が同じ物理インフラを共有するホスト型VMwareクラウド環境では、1つの仮想マシンからハイパーバイザーに侵入することで、テナント間の分離がなくなり、管理ネットワークへのアクセスや、ハイパーバイザーが管理する追加の仮想マシンへの管理またはアクセスが可能になる可能性があります。

イベントやインシデントのアラートが生成される頃には、攻撃者はすでに影響を受けた仮想マシンから「脱走」し、ハイパーバイザにアクセスしていることでしょう。検出されたスクリプトのハッシュ禁止や削除といった一般的なセキュリティ・オペレーション・センター（SOC）の対応では、このインシデントの脅威を封じ込めることはできません。さらなる調査と封じ込めが必要な可能性が高いです。

加えて、サイバーリーズンは、CVEの公開と組織によるパッチ適用以前にこの攻撃の証拠がないか、過去のMDRログを分析することを推奨します。

ホスティングされているVMwareクラウド環境では、優先的にパッチを適用する必要があります。このエクスプロイトチェーンはローカル管理者権限を必要とするため、ホスト内に脅威行為者を持つエンドクライアントや、自身のVMをプロビジョニングしているクライアントを装った潜在的な攻撃者は、リスクへの露出を高める可能性があります。
 
また繰り返しになりますが、サイバーリーズンは、影響を受けるバージョンを直ちに最新の「修正バージョン」にアップグレードすることを推奨しています。
 

2025年サイバー脅威予測 〜2024年の主要な脅威の振り返りと、2025年に警戒すべき脅威の予測〜

2024年は新たな感染手法やLinuxを狙った標的型攻撃、生成AIの悪用が注目され、またランサムウェアの後継グループも登場し、攻撃根絶の難しさが浮き彫りとなりました。

本資料では、2024年に顕在化したサイバー空間における脅威の傾向を踏まえ、特に大きな影響を及ぼすと考えられる4つの脅威を2025年のサイバーセキュリティ予測として取り上げています。2024年の主要な脅威を振り返りつつ、2025年に予測されるサイバー脅威について解説します。

2024年度のご自身が所属する組織におけるサイバーセキュリティ対策の検討にお役立てください。
https://www.cybereason.co.jp/product-documents/survey-report/12826/