目次
サイバー犯罪者は、貴重なデータを盗み出し、それを利用するための新しい方法を常に考案しています。闇市場においてデータは非常に貴重であり、不正に入手した情報を販売することで、一人の悪意ある者が何百万ドルもの利益を得ることもあり得ます。ハイパージャッキングもまた、被害者を監視し、デバイスを制御し、貴重な情報を盗むために使用される不正な手法の一つです。では、ハイパージャッキングとは何か、そしてハイパージャッキングから身を守るにはどうすればよいのでしょうか。
ハイパージャッキングとは?
ハイパージャッキングとは、仮想マシン(VM)を不正に制御することです。ハイパージャッキングについて詳しく説明する前に、まず仮想マシンが何であるかを理解する必要があります。
仮想マシンとは?
仮想マシンは、ハードウェアの代わりに仮想化ソフトウェアを使用して機能する非物理的なマシンです。仮想マシンはハードウェア上に存在する必要がありますが、仮想コンポーネント(仮想CPUなど)を使用して動作します。
ハイパーバイザーは、仮想マシンのバックボーンを形成しています。ハイパーバイザーは、仮想マシンの作成、実行、および管理を担当するソフトウェア・プログラムです。1つのハイパーバイザーで複数の仮想マシン、つまり複数のゲストOSを同時にホストできるため、仮想マシン・マネージャー(VMM)という別称もあります。
ハイパーバイザーには2種類あります。1つは"bare metal"または"native"ハイパーバイザーとして知られており、もう1つは"host"ハイパーバイザーです。注意すべきは、ハイパージャッキング攻撃の対象となるのは仮想マシンのハイパーバイザーであるということです(そのため、"hyper-jacking"という用語があります)。
ハイパージャッキングの起源
2000年代半ば、研究者たちはハイパージャッキングが可能であることを発見しました。当時、ハイパージャッキング攻撃は完全に理論上のものでしたが、実行される脅威は常に存在していたのです。技術の進歩とサイバー犯罪者の創意工夫により、ハイパージャッキング攻撃のリスクは年を追うごとに高まっています。
実際、2022年9月には、実際のハイパージャッキング攻撃に関する警告が発生し始めた。MandiantとVMWareの両社は、悪意のある行為者がマルウェアを使用して、VMWareソフトウェアの有害なバージョンを介して、ハイパージャッキング攻撃を実際に行っているのを発見したとする警告を発表しました。このベンチャー企業では、脅威の行為者は、ターゲットデバイスのセキュリティ対策(ルートキットに類似)をバイパスしながら、被害者'のハイパーバイザー内に独自の悪意のあるコードを挿入しました。
この悪用により、問題のハッカーは、検出されることなく仮想マシン'のホストデバイス上でコマンドを実行することができました。
ハイパージャッキング攻撃の仕組み
ハイパージャッキング攻撃の主な標的は、ハイパーバイザーです。典型的な攻撃では、脅威者がコントロールする不正なハイパーバイザーをインストールすることで、元のハイパーバイザーを置き換えます。不正なハイパーバイザーを元のハイパーバイザーの下にインストールすることで、攻撃者は正規のハイパーバイザーを制御し、VMを悪用することができます。
仮想マシンのハイパーバイザーを制御することで、攻撃者は仮想マシン・サーバ全体を制御できるようになります。つまり、仮想マシン内のあらゆるものを操作することができるのです。前述の2022年9月に発表されたハイパージャッキング攻撃では、ハッカーがハイパージャッキングを利用して被害者をスパイしていたことが判明しています。
フィッシングやランサムウェアのような他のサイバー犯罪の手口と比べると、ハイパージャッキングは今のところあまり一般的ではありません。しかし、この手口の利用が初めて確認されたことで、デバイスとデータを安全に保つ方法を知っておくことが重要です。
ハイパージャッキングを回避する方法
残念ながら、ハイパージャッキングはあなたのデバイスに存在する特定のセキュリティ対策を回避することが分かっています。しかし、このことは、攻撃者がハイパーバイザーを標的にする可能性を低くするために、高レベルの安全対策を採用すべきではないことを意味するものではありません。
もちろん、仮想マシンがさまざまなセキュリティ・レイヤーを備えていることは常に確認する必要があります。例えば、ファイアウォールを使って各仮想マシンを分離したり、ホスト・デバイスに適切なアンチウイルス機能を持たせたりすることができます。
また、ハイパーバイザーには定期的にパッチが適用され、悪意ある行為者がソフトウェア内のバグや脆弱性を悪用できないようにしておく必要があります。これは、サイバー犯罪者が攻撃を行う最も一般的な方法の1つであり、ソフトウェア・プロバイダーがセキュリティ上の欠陥に気付く前に、多くの損害を与えてしまうこともあります。
仮想マシンがアクセスできるデバイスを制限する必要があります。攻撃者が仮想マシンを制御できるようになると、仮想マシンを使ってホスト・デバイスなど他のハードウェアにアクセスする可能性があります。仮想マシンを不要なデバイスとリンクさせないことで、攻撃者に悪用されることを防ぐことができます。
近い将来、ハイパージャッキングが重大な問題になる可能性
ハイパージャッキングは、サイバー犯罪の手口としては比較的新しいもののようですが、マシンを悪用し、被害者をスパイし、データを盗み出そうとするハッカー集団の間では、今後その傾向が強まる可能性が十分にあります。したがって、1台以上の仮想マシンを使用している場合は、ハイパージャッキングの被害に遭わないよう、可能な限りマシンを保護する必要があります。