セキュリティ

SECURITY

公開：2025-03-14

【CVE-2025-22224】VMwareの主要製品にTOCTOU脆弱性、仮想マシン環境でのコード実行リスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• VMwareの複数製品にTOCTOU脆弱性が発見
• 仮想マシンのVMXプロセスでコード実行の可能性
• CVSSスコア9.3のクリティカルな脆弱性

VMware製品における重大な脆弱性【CVE-2025-22224】の発見

VMware社は2025年3月4日、ESXiやWorkstationなどの主要製品において、深刻なTOCTOU（Time-of-Check Time-of-Use）脆弱性を公開した。この脆弱性により、仮想マシン上で管理者権限を持つ悪意のある攻撃者が、ホスト上で実行される仮想マシンのVMXプロセスとしてコードを実行できる可能性があることが明らかになっている。^[1]

この脆弱性は複数のVMware製品に影響を及ぼしており、ESXi 8.0および7.0の特定バージョン、Workstation 17.x、Cloud Foundation 5.x/4.5.x、Telco Cloud Platform 5.x/4.x/3.x/2.x、そしてTelco Cloud Infrastructure 3.x/2.xが影響を受けることが判明している。CISAによる評価では、この脆弱性は自動化された攻撃は不可能であるものの、総合的な影響は重大であると判断されている。

VMwareは影響を受ける製品のバージョンを具体的に特定しており、ESXi 8.0ではESXi80U3d-24585383およびESXi80U2d-24585300未満、ESXi 7.0ではESXi70U3s-24585291未満、Workstationでは17.6.3未満のバージョンが脆弱性の影響を受けることを明らかにした。CSSVスコアは9.3と非常に高く、早急な対応が必要とされている。

VMware製品の脆弱性影響範囲まとめ

TOCTOUについて

TOCTOUは「Time-of-Check Time-of-Use」の略称で、システムがリソースの状態をチェックしてから実際に使用するまでの間に、そのリソースの状態が変化してしまうことによって発生する脆弱性のことを指している。主な特徴として、以下のような点が挙げられる。

• リソースの検証時と使用時の時間差を突いた攻撃が可能
• 権限昇格やデータ改ざんのリスクが存在
• 並行処理システムで特に注意が必要な脆弱性

今回のVMware製品における脆弱性では、このTOCTOUの問題により範囲外書き込みが可能となり、仮想マシン上での管理者権限を持つ攻撃者がホスト上のVMXプロセスとしてコードを実行できる状態となっている。CISAの評価によると、この脆弱性は自動化された攻撃は不可能であるものの、影響度は極めて高いと判断されている。

VMware製品の脆弱性に関する考察

今回発見された脆弱性の影響範囲は、VMwareの主力製品であるESXiやWorkstationから、Cloud FoundationやTelco Cloud Platformまで広範に及んでおり、企業のIT基盤に深刻な影響を与える可能性がある。特に仮想化環境を活用している組織にとって、この脆弱性は物理ホスト全体に影響を及ぼす可能性があるため、早急なパッチ適用が必要不可欠となっている。

この脆弱性の発見は、仮想化技術の複雑化に伴うセキュリティリスクの増大を示唆しており、今後も同様の脆弱性が発見される可能性は否定できない。特にクラウドネイティブ環境やエッジコンピューティングの普及により、仮想化基盤の重要性は更に高まることが予想され、セキュリティ対策の強化が急務となっている。

VMwareは今後、製品の設計段階からセキュリティを考慮したシフトレフトアプローチを強化し、脆弱性の早期発見と対策を実施する必要がある。また、ユーザー企業側も定期的なセキュリティアセスメントの実施や、パッチ管理プロセスの整備を行うことで、同様の脆弱性から自社環境を保護する取り組みが重要となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-22224, (参照 25-03-14).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧