VMエスケープ 【Virtual Machine escape】
概要
VMエスケープ(Virtual Machine escape)とは、仮想マシン(VM)内で実行されているプログラムがVMを抜け出し、ハイパーバイザなどVMをホストしている環境へ干渉すること。ハイパーバイザに保安上の欠陥(脆弱性)がある場合に生じ、サイバー攻撃に悪用されることがある。ハイパーバイザ型の仮想化環境では、コンピュータの物理的な資源をハイパーバイザと呼ばれる特殊なソフトウェアが管理して複数の区画に分割し、それぞれを仮想的なコンピュータ(これを仮想マシンという)として起動する。VM上では通常のコンピュータと同じようにオペレーティングシステム(OS)やアプリケーションソフトを実行できる。
VM上で実行されているプログラムにとってはVMは物理コンピュータと同じように見えており、VM側からハイパーバイザや物理コンピュータの装置そのものにアクセスすることはできないようになっている。しかし、ハイパーバイザの実装に問題がある場合、VMからハイパーバイザ側に干渉するVMエスケープが可能となり、実行権限を奪取して不正にシステムを操作するといった行為が可能となる。
VMエスケープはハイパーバイザ型仮想化で生じる問題だが、実行中のオペレーティングシステム(OS)を複数の独立区画に分割するコンテナ型仮想化の場合には、コンテナ上で実行されているプログラムがコンテナ管理ソフトウェア側に干渉する「コンテナエスケープ」という同種の問題がある。
(2023.11.16更新)
共有ボタンをタップ