【 ここから本文 】
- TOP
- > Topics : システム脆弱性
- >
システム脆弱性
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
仮想サーバの脆弱性は仮想マシンにあり――研究者がBlack Hatで講演へ
「仮想マシンが物理サーバ間を移行するときに攻撃を受けやすい」
(2008年02月18日)
「仮想化技術の最たる魅力の1つは、必要に応じて瞬時に仮想サーバを複製できる点にある。しかし、このことはデータ盗難やサービス拒否といったセキュリティ面での深刻な弱点にもなっている」。仮想化技術に潜む脅威について、このように指摘する研究者の講演が、2月18日から21日までワシントンD.C.で開催される「Black Hat DC 2008」で予定されている。
講演を行うミシガン大学博士課程のジョン・オーバーハイド(Jon Oberheide)氏によれば、仮想マシンは、ある物理サーバからほかの物理サーバへ移行するときに、さまざまな攻撃を受けやすくなるという。これは主に、物理マシン間の認証が脆弱であること、物理マシン間の仮想マシン・トラフィックが暗号化されていないことに原因があるようだ。
短期的な対策としては、仮想マシンのトラフィック・データを送受信するすべての物理サーバに、ハードウェア・ベースの暗号化機能を実装することが考えられるが、長期的対策としては、仮想マシンに強力な認証機能を搭載し、リスクを最小にするのがよいと、Oberheide氏は考えている。
同氏は講演で、物理サーバ間を移動する仮想マシンに対して攻撃(中間者攻撃)を仕掛ける、コンセプト実証ツールについて説明する予定だ。このツールは、同氏が研究で実際に使っていたものだという。同氏は、仮想化プラットフォーム「Xen」および「VMware」を研究対象としてきた。
Xenの商用版を販売しているCitrixの仮想化および管理部門のCTO(最高技術責任者)、サイモン・クロスビー(Simon Crosby)氏は、物理サーバ間の相互認証をCitrixの管理サーバで行うことで問題を回避できると語る。「中間者攻撃に対しては、(文字どおり)ほかのものを中間に入れることで防ぐことができる」(Crosby氏)
一方VMwareは、仮想マシンの移行そのものを暗号化する方法を推奨する。同社のWebサイトでは、VMwareのESX Server上にある仮想マシンを別のESX Server上に移動させる「VMotion」技術について、次のような注意書きをしている。
「VMotionネットワークは暗号化されないため、ネットワーク傍受を防ぐには、(仮想マシンのデータ・トラフィックとして)専用のVLANなどを利用することが最善の道だ。VMotionネットワーク上では、仮想マシンのメモリ状態がやり取りされるため、重要な情報が含まれる可能性が高い。ハードウェア・ベースのSSL暗号化を導入し、VMotionネットワークを保全して、高度なセキュリティ実装を実現するという手もある」
Oberheide氏は、攻撃方法を実演するつもりはないが、攻撃がどのように起こり、当該のツールがどういった働きをするのかを示したスクリーン・ショットを発表するという。
「(攻撃者とサーバが)同一ネットワーク上に存在しているなら、攻撃を仕掛けるのは大して難しくない。IPを悪用したセッション・ハイジャックやARP(Address Resolution Protocol)の偽装などを行うための情報を悪用するだけだ」(Oberheide氏)
中間者攻撃を実現させるには、仮想マシンを移行中のネットワークへのアクセス権を攻撃者が持っている必要があるが、いったんアクセスしてしまえば、そのあとに必要なスキルはどれも一般的なものだという。
「仮想マシンの移行中にその間に入り込むことができれば、攻撃者は多種多様な攻撃を行うことが可能になる。例えば、仮想マシンを攻撃者のマシンに移行させ、完全にアクセス権を奪うといったことも起こりうる」(Oberheide氏)
また、仮想サーバの移行トラフィックを複数発生させ、受信側のハードウェアをオーバーロードさせることもできるという。
米国の調査会社Nemertes Researchのアナリスト、アンドレアス・アントノパウロス(Andreas Antonopoulos)氏は、Oberheide氏の研究を高く評価し、仮想サーバはきわめて基本的なセキュリティ問題に直面していると述べた。
「今日の全セキュリティ・インフラストラクチャは、静的モデルを軸に構築されている。そうした中でありとあらゆるものを仮想化しているため、セキュリティの仮想化が大幅に後れを取るようになった。これにより、アーキテクチャの選択はきわめて難しくなっている」(Antonopoulos氏)
(Tim Greene/Network World オンライン米国版)
- Black Hat DC 2008
- http://www.blackhat.com/
[世界]【CA調査】「仮想化サーバの管理に自信が持てない」とするCIOが半数以上に
懸案事項は、セキュリティ/異種インフラ管理/システム利用の最適化
[米国]【今週のウォール街】VMware株が急落――仮想化大手の行き先に暗雲?
大幅な売上増達成も、アナリストらの期待を下回る
[国内]「全領域で仮想化を推進」――シトリックスが2008年の事業戦略を発表
アプリ/サーバ/デスクトップで一貫した仮想化ソリューションをアピール
[米国]マイクロソフト、「Vistaのセキュリティ強化に全社を挙げる」と強調
【Black Hat USA 2006 リポート】
[米国]「凶悪化するスパイウェアに法的な措置を!」──IT関係者が悲痛な訴え
【Black Hat USA 2006 リポート】
[米国]管理アプリケーションがセキュリティ上のリスク要因に──セキュリティ会社が指摘
【Black Hat USA 2006 リポート】
[米国]「NACソリューションの安全性に疑問あり」──セキュリティ専門家が警告
【Black Hat USA 2006 リポート】
[米国]MacBookを無線LAN経由でハッキングする方法が公開──米国セキュリティ研究者がデモ
【Black Hat USA 2006 リポート】
【Black Hat USA 2006 リポート】
