Case Study: Part 02

【技術解析編】なぜ仮想化基盤（VMware）が狙われたのか？

前回アサヒGHD がランサムウェアに攻撃されシステムが動かなくなった記事を上げました。

アサヒGHDを襲った攻撃の正体は、単なるPCのウイルス感染ではありません。システムの「土台」を乗っ取る、極めて効率的で冷徹な手法を解明します。

1. 攻撃者「Qilin」：RustとGoを操るエリート集団

今回、標的となったのは「Qilin（麒麟）」と呼ばれるサイバー犯罪グループです。彼らは最新のプログラミング言語であるRustやGoを用いて攻撃ツールを自社開発しています。

用語解説：RustとGo

Rust（ラスト）/ Go（ゴー）： 非常に処理が速く、かつWindowsやLinuxなど、どんなコンピューター環境でも動くプログラムを作れる最新のプログラミング言語です。従来のセキュリティソフトが検知しにくい（解析を難しくする）特性があり、現代の高度なサイバー犯罪者に好まれています。

彼らは単に攻撃するだけでなく、攻撃ツールを他の犯罪者に提供して利益を得る「RaaS（サービスとしてのランサムウェア）」という高度な犯罪ビジネスを構築しています。

アサヒGHDのシステム障害がこれほど大規模になった最大の要因は、攻撃者が個々のPCではなく、サーバーを束ねる「土台」である**VMware ESXi**を狙ったことにあります。

用語解説：仮想化基盤（VMware ESXi）

仮想化基盤（かそうかきばん）： 1台の強力な物理的なコンピューターの中に、ソフトウェアの力で何十台もの「仮想のコンピューター」を作り出し、同時に動かす技術のことです。現代のデータセンターはほぼこの仕組みで動いています。

例えるなら、「巨大なマンション（物理サーバー）」とその中の「各部屋（個別の仮想サーバー）」のような関係です。Qilinは一軒一軒の部屋の鍵を壊して回るのではなく、マンション全体の管理室を占拠し、全室のドアを一斉にロックしてしまったのです。

Qilinのランサムウェアは、このESXi上で動く仮想マシンのデータファイルそのものを直接暗号化しました。これにより、その上で動いていた数千台規模のシステムが一瞬にして沈黙したのです。

この攻撃により、アサヒGHDの根幹を支えていた**Oracle Database（オラクル・データベース）**も大きな被害を受けました。これはデータベースのソフト自体に欠陥があったわけではありません。データが保存されている「ファイルそのもの」が、外側から丸ごと暗号化されてしまったのです。

用語解説：なぜデータベースが狙われる？

データベースは、在庫の数、過去の注文履歴、顧客の個人情報といった、企業の「記憶」そのものが詰まった場所です。ここが暗号化されて開けなくなると、たとえ受発注のプログラム自体が無事でも「何をどう処理すればいいか」という情報が読み取れず、システムは完全に思考停止してしまいます。

専門的な補足： QilinはESXiの管理コマンドを悪用し、稼働中の仮想マシンを強制的に停止させた上で暗号化を行いました。これにより、データベースがデータを安全に保存して終了する間もなくファイルがロックされ、復旧を極めて困難な状態に陥れました。

これほど高度な攻撃者が、最初にどうやって社内に入り込んだのか？調査で浮上したのは**VPN装置の脆弱性**と**認証情報の窃取**という、古典的な「裏口」の存在です。

用語解説：VPNと脆弱性

VPN（ブイピーエヌ）： インターネット上に作られた仮想的な専用線のこと。外出先や自宅から、会社のネットワークに安全につなぐための「トンネル」のような役割をします。

脆弱性（ぜいじゃくせい）： ソフトウェアや機器の設計ミスによって生じた「セキュリティ上の穴（バグ）」のことです。攻撃者はこの穴を見つけると、正しい鍵（IDやパスワード）を持っていなくても、裏口からこっそり侵入できてしまいます。

リモートワークのために急遽導入・拡大されたVPNが、最新のアップデートを怠っていたり、推測されやすい弱いパスワードのまま運用されていたりしたことで、攻撃者に「正規ルート」としての侵入を許してしまったのです。

今回の解析で分かったのは、Qilinが**「最も少ない労力で、最も大きなダメージを与えられる場所」**を正確に理解し、狙い撃ちにしたということです。

次回、第3回では、アサヒGHDが推進していた「クラウド移行」の最中に、なぜこのオンプレミスの脆弱な部分が狙われたのか、ハイブリッド環境の死角について考察します。