VMwareの製品に脆弱性はある？ セキュリティリスクと情シスが講じる対策とは

VMware（ヴイエムウェア）は、仮想化技術を専門としてさまざまな仮想マシン・ソフトウェアを提供していた企業です。現在ではBroadcomに吸収され、同社におけるブランドの一つとして製品展開が行われています。

VMwareブランドにおける特定の製品には脆弱性が報告されているケースがあります。該当製品を導入している企業の情報システム部門（以下、情シス）においては、セキュリティリスクへの対策が必要です。

この記事では、VMwareの製品で報告されている脆弱性について、概要やセキュリティリスク、対策を解説します。

安全な通信環境を実現するゼロトラストブラウザについてはこちらの資料をご確認ください。

VPNとVDIに代わる「ゼロトラストブラウザ」とは？～課題と解決策をご紹介～ | モバ...

https://moconavi.jp/material/wp31_zerotrustbrowser/

お役立ち資料【そろそろ切り替えたいPHS問題に！病院内のコミュニケーション課題とその対応策】をダウンロードいただけます。

※2025年5月の情報を基に作成しております。

脆弱性が報告されているVMwareの製品は複数あります。情シスにおいては、自社が導入している製品の脆弱性や影響範囲、セキュリティリスクなどを把握しておくことが欠かせません。

仮想化環境における管理運用ツールのVMware vCenter Server（※）には、セキュリティリスクにつながる脆弱性が複数報告されています。

▼VMware vCenter Serverの脆弱性

• ヒープベースのバッファオーバーフローの脆弱性
• ローカル権限昇格に関する脆弱性

これらの脆弱性が悪用されると、攻撃者が任意コードを実行したり、自身の権限をrootに昇格したりする可能性があります。

※VMware vCenter Serverは、Broadcom Inc.の米国および各国での商標または登録商標です。

セルフサービス型のマルチクラウド環境を実現するVMware Aria Automation（※）には、アクセス制御に関する脆弱性があります。

攻撃者にこの脆弱性を悪用された場合、認証情報を盗まれて不正アクセスに利用される可能性が懸念されます。

※VMware Aria Automationは、Broadcom Inc.の米国および各国での商標または登録商標です。

仮想化環境を実行するVMware ESXi（※）には、仮想マシンの境界に関する複数の脆弱性が見つかっています。

また、異なるOSを仮想マシンとして稼働させるVMware Fusion（※）や、クラウド環境の構築に用いるVMware Cloud Foundation（※）などの製品にも同様の脆弱性が報告されています。

攻撃者は報告されている複数の脆弱性を連鎖させて悪用することで、仮想マシンの環境を脱出してホストOSやハイパーバイザー、ほかの仮想マシンに不正アクセスできます。

※VMware ESXi、VMware Fusion、VMware Cloud Foundationは、Broadcom Inc.の米国および各国での商標または登録商標です。

特定のソフトウェアの脆弱性によって生じるセキュリティリスクを防ぐには、情シスが脆弱性情報をいち早くキャッチして、修正プログラムを迅速に適用することが重要です。また、代替となるほかのソリューションを導入する方法も考えられます。

脆弱性によって生じるセキュリティリスクに対応するには、新たに発見された脆弱性についての情報を素早く知る必要があります。

Broadcomは、VMware製品の脆弱性情報を公式で提供しています。受信設定を事前に行っておくことで、情報が公開された際にメールで通知を受け取れます。

脆弱性に対する修正プログラムが提供されている場合、迅速な適用が必要です。

脆弱性の情報が公開されると、その脆弱性を狙ったサイバー攻撃が活発化します。修正プログラムを適用せずに放置している場合、被害に遭いやすくなると考えられます。

情シスにおいては、ベンダーによる修正プログラムの公開を確認次第、迅速に適用することが欠かせません。

VMwareの製品を利用している目的によっては、代替としてエンタープライズブラウザを活用できる可能性があります。エンタープライズブラウザは、高度なセキュリティ対策や管理機能を持つ企業向けのWebブラウザです。

VMWareの製品による仮想化技術を利用する目的の一つに、セキュリティの向上が挙げられます。仮想化技術によってVDI（※）を導入するとローカル環境にデータを残さずに作業を行えるため、業務におけるセキュリティが確保できます。

一方で、業務におけるセキュリティの向上はエンタープライズブラウザでも実現可能です。加えて、エンタープライズブラウザはVDIが抱える導入・運用のコストや利用環境の整備などの問題も解消できます。

▼エンタープライズブラウザとVDIの違い

なお、エンタープライズブラウザについてはこちらの記事で詳しく解説しています。併せてご確認ください。

エンタープライズブラウザとは。クラウドの管理効率と安全性を高める新たな手段

https://moconavi.jp/blog/2025/05/8112/

※VDIとは”Virtual Desktop Infrastructure”の略で、仮想的なデスクトップ環境を構築して作業者にデスクトップ環境の画面のみを転送する手法です。

『mocochro（モコクロ）』は、Chromiumをベースに開発されたエンタープライズブラウザです。

近年では業務におけるクラウドの利用が拡大しています。なかでもインターネットを介してアプリケーションを利用する“SaaS”はWebブラウザを通じて利用する形態が一般的です。mocochroによってWebブラウザのセキュリティを強化することで、業務を安全に実施できるようになります。

▼mocochroのセキュリティ機能

• 端末にデータを残さずに業務用のファイルを編集できる
• ウォーターマークを表示できる
• ブックマークやURL入力欄の利用可否を制御できる
• ダウンロードファイルを無害化できる

詳しくはこちらの資料をご確認ください。