今回は「Xensploit」というぜい弱性について取り上げる。その謎をひも解くヒントは,最新のデータ・センター技術,セキュリティの詳細な調査,巧みなネーミングの三つだ。
読者に知っておいてほしいのは以下の内容である。
ミシガン大学の研究グループが最近,稼働している仮想マシン(VM)を移行させる「ライブ・マイグレーション」(関連記事「Xenによる仮想化システム構築術:第4回動的に仮想マシンを移動し可用性を向上」)のセキュリティに関する論文を発表した。ライブ・マイグレーションとしては仮想化ソフト「VMware」のVMotion機能,「Xen」のmigrate機能などを取りあげている。この論文は,ライブ・マイグレーションのプロセス全体について広範なセキュリティ分析を行っている。中でも重点を置いているテーマは,同グループが開発したコンセプト実証(PoC)ツール「Xensploit」である。攻撃者がこのツールを使うと,ライブ・マイグレーション実行中に物理サーバー間の非暗号化データを傍受し,VMの状態やメモリーを表示/変更できる。研究メンバーの一人であるJon Oberheide氏はセキュリティ関連の会議「Black Hat DC」でXensploitのデモを実施した。
Xensploitは,保護されたネットワークに攻撃者がアクセスできることを想定しているが,ライブ・マイグレーションのトラフィックに中間者攻撃(関連記事Networkキーワード:man in the middle攻撃<中間者攻撃>)を仕掛け,エンドポイントを手中に収める方法が数限りなくあることを示している。結局のところ,複製されてネットワーク上を流れるVMデータを,ビット/バイトで表現する制御レベルに問題があるようだ。システム・メモリーへの自由なアクセスが攻撃者の望みだとすれば,ライブ・マイグレーションはサーバーのDIMMスロットから宝物がこぼれ出てくるようなものだろう。
上記の内容を踏まえた上で,本題に入ろう。
まず,ライブ・マイグレーションの非暗号化データにぜい弱性はあるのか――。答えは当然,「ある」だ。悪用される可能性があるのは,システムのぜい弱性だ。この点に異議を唱えるセキュリティ専門家がいるとは思えない。
では,ソフトウエア・ベンダーはこのぜい弱性を補う対策を正しく推奨しているか。この答えは「イエス」である。米ヴイエムウェアのセキュリティ実践ガイドには,VMotionの全トラフィックは隔離された専用のネットワークを使用すべきと記載されている。おそらく複雑さやパフォーマンスの面で問題になるからだろうが,仮想化ソフトウエアは暗号化機構を搭載していない。そこでセキュリティを確保する際には,ネットワーク帯域への影響を排除するためにSSL暗号化ハードウエアを使うよう推奨している。いずれにせよ,ベンダーのメッセージは極めて明快だ。「誰かがライブ・マイグレーションのトラフィックにアクセスできる限り,悪用される可能性はある。必要な対策を講じて安全を確保せよ」ということだ。
研究者たちは,上記のデータを使用して「ハイパーバイザーを支配」できることを示せたかと言えば,結局は示せていない。今回の研究チームがXenのコードを詳しく調査した結果,ネットワークにおけるライブ・マイグレーション実行時のデータ・セキュリティ以外に,特権コードの遠隔実行でハイパーバイザー侵害につながる二つのぜい弱性を発見した。これらのぜい弱性は,仮想化ソフトウエアのマイグレーション・サービスを安全に運用することの重要性を重ねて示すものではあるが,Xenの3.1.0までのコードにしか当てはまらない。
最後に,筆者としてはこの研究者たちの功績に感謝の意を示したい。このような研究はベンダー,消費者,セキュリティ専門家にとって,多くの点で価値あるものだ。Jon氏は別のブログに記載したコメントで次のように語っている。「第一の目標は,仮想化ソフトウエアを導入している数多くの組織で,ベスト・プラクティスにしたがっていない可能性があること,あるいは関連するリスクに気づいていないことを,意識してもらうことにある。これらの成果がある程度もたらさられることを期待している」
筆者としては,実際に効果は出ていると思う。
Copyrights (C) 2008 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,Xensploit: A recipe for attentionでお読みいただけます。
