［米国］
仮想サーバの脆弱性は仮想マシンにあり――研究者がBlack Hatで講演へ

「仮想マシンが物理サーバ間を移行するときに攻撃を受けやすい」

（2008年02月18日）

　「仮想化技術の最たる魅力の1つは、必要に応じて瞬時に仮想サーバを複製できる点にある。しかし、このことはデータ盗難やサービス拒否といったセキュリティ面での深刻な弱点にもなっている」。仮想化技術に潜む脅威について、このように指摘する研究者の講演が、2月18日から21日までワシントンD.C.で開催される「Black Hat DC 2008」で予定されている。

　講演を行うミシガン大学博士課程のジョン・オーバーハイド（Jon Oberheide）氏によれば、仮想マシンは、ある物理サーバからほかの物理サーバへ移行するときに、さまざまな攻撃を受けやすくなるという。これは主に、物理マシン間の認証が脆弱であること、物理マシン間の仮想マシン・トラフィックが暗号化されていないことに原因があるようだ。

　短期的な対策としては、仮想マシンのトラフィック・データを送受信するすべての物理サーバに、ハードウェア・ベースの暗号化機能を実装することが考えられるが、長期的対策としては、仮想マシンに強力な認証機能を搭載し、リスクを最小にするのがよいと、Oberheide氏は考えている。

　同氏は講演で、物理サーバ間を移動する仮想マシンに対して攻撃（中間者攻撃）を仕掛ける、コンセプト実証ツールについて説明する予定だ。このツールは、同氏が研究で実際に使っていたものだという。同氏は、仮想化プラットフォーム「Xen」および「VMware」を研究対象としてきた。

　Xenの商用版を販売しているCitrixの仮想化および管理部門のCTO（最高技術責任者）、サイモン・クロスビー（Simon Crosby）氏は、物理サーバ間の相互認証をCitrixの管理サーバで行うことで問題を回避できると語る。「中間者攻撃に対しては、（文字どおり）ほかのものを中間に入れることで防ぐことができる」（Crosby氏）

　一方VMwareは、仮想マシンの移行そのものを暗号化する方法を推奨する。同社のWebサイトでは、VMwareのESX Server上にある仮想マシンを別のESX Server上に移動させる「VMotion」技術について、次のような注意書きをしている。

　「VMotionネットワークは暗号化されないため、ネットワーク傍受を防ぐには、（仮想マシンのデータ・トラフィックとして）専用のVLANなどを利用することが最善の道だ。VMotionネットワーク上では、仮想マシンのメモリ状態がやり取りされるため、重要な情報が含まれる可能性が高い。ハードウェア・ベースのSSL暗号化を導入し、VMotionネットワークを保全して、高度なセキュリティ実装を実現するという手もある」

　Oberheide氏は、攻撃方法を実演するつもりはないが、攻撃がどのように起こり、当該のツールがどういった働きをするのかを示したスクリーン・ショットを発表するという。

　「（攻撃者とサーバが）同一ネットワーク上に存在しているなら、攻撃を仕掛けるのは大して難しくない。IPを悪用したセッション・ハイジャックやARP（Address Resolution Protocol）の偽装などを行うための情報を悪用するだけだ」（Oberheide氏）

　中間者攻撃を実現させるには、仮想マシンを移行中のネットワークへのアクセス権を攻撃者が持っている必要があるが、いったんアクセスしてしまえば、そのあとに必要なスキルはどれも一般的なものだという。

　「仮想マシンの移行中にその間に入り込むことができれば、攻撃者は多種多様な攻撃を行うことが可能になる。例えば、仮想マシンを攻撃者のマシンに移行させ、完全にアクセス権を奪うといったことも起こりうる」（Oberheide氏）

　また、仮想サーバの移行トラフィックを複数発生させ、受信側のハードウェアをオーバーロードさせることもできるという。

　米国の調査会社Nemertes Researchのアナリスト、アンドレアス・アントノパウロス（Andreas Antonopoulos）氏は、Oberheide氏の研究を高く評価し、仮想サーバはきわめて基本的なセキュリティ問題に直面していると述べた。

　「今日の全セキュリティ・インフラストラクチャは、静的モデルを軸に構築されている。そうした中でありとあらゆるものを仮想化しているため、セキュリティの仮想化が大幅に後れを取るようになった。これにより、アーキテクチャの選択はきわめて難しくなっている」（Antonopoulos氏）

(Tim Greene／Network World オンライン米国版)