WEBVTT

00:00.330 --> 00:01.350
インストラクター：このレッスンでは､

00:01.350 --> 00:03.780
VMエスケープ､ VMホッピング､ サンドボックス・エスケープ､

00:03.780 --> 00:09.360
その他のVMに関する問題を含む仮想マシン攻撃について説明します｡

00:09.360 --> 00:12.680
まず､ VMエスケープ（仮想マシン・エスケープ）がある｡ 

00:12.680 --> 00:16.230
VMエスケープとは､ 脅威者が隔離された仮想マシンから抜け出し､

00:16.230 --> 00:21.270
基盤となるハイパーバイザーに直接コマンドを送信しようとする攻撃の一種である｡

00:21.270 --> 00:23.820
各仮想マシンは隔離されているはずなので､

00:23.820 --> 00:27.300
VMエスケープを実行するのは非常に難しいはずだ｡

00:27.300 --> 00:31.200
結局のところ､ 各ゲストOSは､ 自分が仮想マシンの一部であることすら知らないはずだ｡

00:31.200 --> 00:38.340
なぜなら､ ハイパーバイザーが提供しているエミュレートされた物理マシンにフルアクセスできると思っているからだ｡

00:38.340 --> 00:40.260
VMエスケープが効果的であるためには､

00:40.260 --> 00:42.780
攻撃者は物理サーバーのメモリ､ ハードドライブ､

00:42.780 --> 00:48.990
処理など､ 基盤となる物理リソースに直接インターフェースする方法を見つけなければならない｡

00:48.990 --> 00:53.220
これは通常､ ハイパーバイザーのコード自体の脆弱性を悪用することで発生する｡

00:53.220 --> 00:54.480
このような事例がいくつかあり､

00:54.480 --> 01:00.840
メーカーは脆弱性を発見するとすぐにパッチを開発し､ リリースしている｡

01:00.840 --> 01:06.330
VMエスケープは､ タイプ2のハイパーバイザーではタイプ1のハイパーバイザーよりも簡単に実行できる｡

01:06.330 --> 01:08.940
タイプ2またはポストイットのハイパーバイザーを使用している場合､

01:08.940 --> 01:14.400
攻撃者は仮想マシンを実際にホストしている基本オペレーティング・システムにアクセスできる可能性がある｡

01:14.400 --> 01:16.170
もしそれができれば､ 特権をエスカレートさせて､

01:16.170 --> 01:19.620
同じデバイス上でホストされている他の仮想マシンにアクセスし､

01:19.620 --> 01:23.820
事実上､ 仮想マシンエスケープを作成することができる｡

01:23.820 --> 01:26.910
仮想マシンのエスケープを防ぐには､ ゲスト・オペレーティング・システム､

01:26.910 --> 01:29.790
ホスト・オペレーティング・システム､ ハイパーバイザーのすべてにパッチが適用され､

01:29.790 --> 01:33.270
最新の状態に保たれていることを常に確認することが重要です｡

01:33.270 --> 01:36.750
次に､ VMホッピング（仮想マシンホッピング）がある｡ 

01:36.750 --> 01:43.860
VMホッピングとは､ 脅威者が同じホスト上のある仮想マシンから別の仮想マシンに移動しようとする攻撃の一種である｡

01:43.860 --> 01:46.530
VMホッピング攻撃は､ 仮想化ソフトウェアのハイパーバイザーを悪用するか､

01:46.530 --> 01:53.730
隔離されているはずの2つの仮想マシン間を移動する何らかの機能に焦点を当てる｡

01:53.730 --> 01:57.960
VMホッピングはVMエスケープと似ているように聞こえるが､

01:57.960 --> 02:02.340
1つ重要な違いがある｡

02:02.340 --> 02:03.818
一方､ VMエスケープについては､

02:03.818 --> 02:08.550
基盤となるハイパーバイザーやホスト・オペレーティング・システムに到達することに焦点を当てている｡

02:08.550 --> 02:10.170
VMホッピングから保護するためには､ 常にハイパーバイザーが最新で､

02:10.170 --> 02:13.603
適切にパッチが適用されていることを確認する必要がある｡

02:13.603 --> 02:15.843
また､ ベストプラクティスのコンフィギュレーションガイドを使用して､

02:15.843 --> 02:25.650
ゲストOSとハイパーバイザーが安全に設定されていることを確認し､ 隔離されているはずの仮想マシン間で誤った接続がないことを確認する必要があります｡

02:25.650 --> 02:27.930
3つ目は､ サンドボックスからの脱出だ｡ 

02:27.930 --> 02:31.710
サンドボックスとは､ システム障害やソフトウェアの脆弱性が広がるのを防ぐために､

02:31.710 --> 02:36.840
実行中のプロセスやプログラムを分離するためのセキュリティ・メカニズムである｡

02:36.840 --> 02:41.370
ほとんどの場合､ サンドボックスは仮想マシンやコンテナを使って作成される｡

02:41.370 --> 02:49.950
例えば､ ウェブ・ブラウザは､ 実行中のウェブ・コードを保護されたオペレーティング・システムやシステム上の他のソフトウェアから分離するサンドボックスの概念を一般的に使用している｡

02:49.950 --> 02:52.620
サンドボックスからの脱出は､ 攻撃者がサンドボックスの保護を迂回し､

02:52.620 --> 02:59.190
保護されたオペレーティング・システムに他の特権プロセスでアクセスできるようになった場合に発生する｡

02:59.190 --> 03:01.130
サンドボックスからの脱走からシステムを保護するためには､

03:01.130 --> 03:02.880
ソフトウェアやオペレーティングシステムにパッチを適用し､

03:02.880 --> 03:16.920
最新の状態に保つことが重要です｡ また､ クライアントに強力なエンドポイント保護ソフトウェアをインストールし､ ウェブブラウザのサンドボックスからの脱走から保護する場合には､ ウェブブラウザにインストールされる拡張機能やアドオンを制限することも重要です｡

03:16.920 --> 03:19.530
第4に､ 仮想マシンや仮想化環境について考えるときにも､

03:19.530 --> 03:23.160
いくつかの懸念がある｡

03:23.160 --> 03:26.250
これにはマイグレーションやデータの残骸なども含まれる｡ 

03:26.250 --> 03:28.890
さて､ 仮想環境を使う大きなメリットのひとつは､

03:28.890 --> 03:33.270
仮想マシンを実行中でも､ あるホストから別のホストに移行できることだ｡

03:33.270 --> 03:35.280
これはライブマイグレーションと呼ばれる｡ 

03:35.280 --> 03:37.290
現在､ この移行はネットワーク上で行われる｡ 

03:37.290 --> 03:41.276
そのため､ 仮想マシンを設定するサーバーと仮想マシンを受け取るサーバーの間で､

03:41.276 --> 03:48.480
常に信頼できるネットワーク､ または適切な暗号化を利用したネットワーク経由でのみ移行が行われるようにすることが重要だ｡

03:48.480 --> 03:51.570
しかし､ ライブマイグレーションが暗号化されていない接続で行われた場合､

03:51.570 --> 03:53.700
その仮想マシンに含まれるデータが覗き見されたり､

03:53.700 --> 04:01.200
オンパス攻撃を使った攻撃者によって完全性が損なわれたりする可能性がある｡

04:01.200 --> 04:06.840
これを防ぐために､ 仮想マシン・イメージは､ あるサーバーから別のサーバーへネットワーク経由で送信される前に暗号化されるべきである｡

04:06.840 --> 04:11.580
覚えておいてほしいのは､ サーバーはもはやデータセンター内にある単なる物理デバイスではなく､

04:11.580 --> 04:16.410
何らかのファイルシステム上にある単なるファイルである仮想マシンでもあるということだ｡

04:16.410 --> 04:18.930
そして､ これらのファイルは攻撃者に盗まれる可能性がある｡ 

04:18.930 --> 04:21.300
クラウド環境で仮想マシンを利用する際のもう1つの大きな懸念は､

04:21.300 --> 04:27.150
余分な仮想サーバーをデプロイした際に残る可能性のあるデータの残骸だ｡

04:27.150 --> 04:29.520
多くのクラウドプロバイダーはブロックストレージを利用しており､

04:29.520 --> 04:34.230
不要になったデータをストレージデバイスに残すことができる｡

04:34.230 --> 04:38.700
適切に消去されなければ､ そのデータは権限のないユーザーによってアクセスされる可能性がある｡

04:38.700 --> 04:40.620
このようなデータ残存の脅威を軽減するには､

04:40.620 --> 04:42.270
仮想マシンの保存場所を常に暗号化し､

04:42.270 --> 04:49.020
仮想マシンが不要になってデプロビジョニングされるたびに暗号化キーが破棄されるようにする必要があります｡

04:49.020 --> 04:50.160
セキュリティの観点から最後に取り上げる必要があるのは､

04:50.160 --> 04:54.990
仮想マシンのスプロール（VM Sprawl）だ｡

04:54.990 --> 04:59.664
仮想マシンスプロールとは､ 1つまたは複数の仮想マシンを無秩序に展開することである｡

04:59.664 --> 05:09.030
ネットワーク上に不正なVMが無許可でインストールされているのだ｡

05:09.030 --> 05:14.460
つまり､ これらのマシンのシステム管理は行われていないということだ｡

05:14.460 --> 05:15.990
そして､ その存在を知らないために､

05:15.990 --> 05:17.610
セキュリティ・パッチやアップデートを行わず､

05:17.610 --> 05:23.130
それらのマシンを保護するためにマルウェア対策やウイルス対策を施していない｡

05:23.130 --> 05:27.300
このため､ これらのVMは攻撃を非常に受けやすくなる｡

05:27.300 --> 05:30.843
もし攻撃者が､ VMスプロールが原因で発生した不正なVMを1つでも見つけることができれば､

05:30.843 --> 05:40.860
そのVMに侵入して攻撃し､ そのVMを基点としてネットワークの残りの部分に侵入して､ VMエスケープやVMホッピングを試みることができるようになります｡

05:40.860 --> 05:42.270
VMのスプロールは大きな問題で､

05:42.270 --> 05:46.725
特にネットワーク上で作業する請負業者や開発者が多く､ 通常のチームの一員ではなく､

05:46.725 --> 05:54.000
通常の変更管理プロセスに従っていない場合は､ この点に留意する必要がある｡

05:54.000 --> 05:56.880
このレッスンでは､ あなたが考えるべきセキュリティ要件と､

05:56.880 --> 06:03.360
そのセキュリティ要件に反する可能性のある脆弱性についてお話ししました｡

06:03.360 --> 06:06.330
これには､ VMのエスケープ､ VMのホッピング､ サンドボックスのエスケープ､

06:06.330 --> 06:09.303
仮想マシンのスプロールなどが含まれる｡