【CVE-2024-21248】Oracle VM VirtualBox 7.0と7.1のCore処理に脆弱性、情報漏洩とDoS攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Oracle VM VirtualBoxに脆弱性が発見
Coreに関する処理の不備で情報漏洩のリスク
最新バージョンへのアップデートで対策可能

Oracle VM VirtualBox 7.0と7.1の脆弱性

Oracle社はVirtualization製品のOracle VM VirtualBoxにおいて、Coreに関する処理の不備による脆弱性を2024年10月15日に公開した。この脆弱性は【CVE-2024-21248】として識別されており、機密性、完全性、および可用性に影響を及ぼす可能性があることが判明している。^[1]

この脆弱性はCVSS v3の基本値で5.3（警告）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは高いとされている。攻撃に必要な特権レベルは低く設定されており、利用者の関与は不要とされているが、影響の想定範囲に変更があることが確認された。

影響を受けるバージョンは、Oracle VM VirtualBox 7.0.22未満およびOracle VM VirtualBox 7.1.2未満となっている。ローカルユーザーによって情報が取得される可能性や、情報が改ざんされる危険性、さらにはサービス運用妨害攻撃が行われる可能性が指摘されているため、早急な対応が必要だ。

Oracle VM VirtualBoxの脆弱性詳細

項目	詳細
影響を受けるバージョン	VirtualBox 7.0.22未満、7.1.2未満
CVSS基本値	5.3（警告）
攻撃条件	ローカル、複雑さ高、特権レベル低
想定されるリスク	情報取得、情報改ざん、DoS攻撃
対策方法	最新バージョンへのアップデート

Coreの処理不備について

Coreとは、VirtualBoxの中核となるシステム部分を指しており、仮想マシンの実行や管理に関する重要な機能を担っている。主な特徴として以下のような点が挙げられる。

仮想マシンの起動・停止・一時停止などの基本機能を制御
ホストOSと仮想マシン間のリソース管理を実行
セキュリティ境界の確立と維持を担当

今回発見された脆弱性は、このCoreにおける処理の不備に起因している。VirtualBoxの特権レベルが低いユーザーでも攻撃が可能であり、情報の取得や改ざん、さらにはサービス運用妨害攻撃が実行可能となる重大な問題である。

Oracle VM VirtualBoxの脆弱性に関する考察

Oracle VM VirtualBoxの脆弱性対策として最新バージョンへのアップデートが提供されたことは、ユーザーのセキュリティ確保という観点で評価できる。一方で、仮想化環境を利用している企業や組織にとって、運用中のシステムのアップデートには慎重な検討が必要となるため、移行期間中のセキュリティリスクへの対応が課題となるだろう。

将来的には、特権レベルが低いユーザーによる攻撃を防ぐため、アクセス権限の細分化やセキュリティ境界の強化が必要となる可能性がある。また、脆弱性の早期発見と迅速な対応を実現するため、セキュリティ監査の頻度を上げることや、自動検知システムの導入を検討する必要があるだろう。

仮想化技術の重要性が増す中、VirtualBoxのようなプラットフォームのセキュリティ強化は不可欠となっている。Oracle社には、脆弱性情報の透明性を確保しつつ、パッチの提供や更新プログラムの配信を迅速に行うことが求められる。また、ユーザー側も定期的なアップデートチェックやセキュリティ情報の監視を徹底する必要があるだろう。