主なポイント

✓ CISAは、CVE-2024-37079が実際に悪用されていることを確認し、KEVカタログに追加しました。
✓ この脆弱性は、DCE/RPCプロトコルのヒープオーバーフローに関連しており、リモートコード実行が可能です。

社会的影響

! この脆弱性の悪用は、企業や政府機関の重要なインフラに対する深刻な脅威となります。
! リモートコード実行が可能なため、攻撃者はシステムに対して完全な制御を得ることができ、情報漏洩やサービス停止を引き起こす可能性があります。

編集長の意見

CVE-2024-37079の悪用は、サイバーセキュリティの観点から非常に懸念される事態です。この脆弱性は、DCE/RPCプロトコルの実装におけるヒープオーバーフローに起因しており、攻撃者が特別に作成したパケットを送信することで、リモートコード実行を実現することができます。特に、リモートコード実行が可能であることは、攻撃者にとって非常に魅力的な手段であり、企業や政府機関の重要なシステムに対する攻撃が増加する可能性があります。さらに、Broadcomがこの脆弱性の悪用が実際に行われていることを確認したことは、サイバー攻撃のリスクが現実のものとなっていることを示しています。今後、企業はこの脆弱性に対する対策を講じる必要があります。具体的には、最新のパッチを適用し、システムの監視を強化することが求められます。また、従業員に対するセキュリティ教育を実施し、フィッシング攻撃やその他の社会工学的手法に対する警戒を促すことも重要です。サイバーセキュリティは単なる技術的な問題ではなく、組織全体で取り組むべき課題であるため、経営層から現場まで一丸となって対策を講じる必要があります。

解説

CISAがvCenter RCE（CVE-2024-37079）をKEVに追加—管理プレーンを“外気”から切り離す判断が今必要です

今日の深掘りポイント

KEV入りは「概念実証」ではなく「実害発生」を示唆します。vCenterの管理プレーンに到達できる経路がある組織は、緊急対応の優先度を最上位に引き上げるべき局面です。
脆弱性はDCE/RPC実装のヒープオーバーフローによるプリオースRCEと評価され、CVSS 9.8の重大度です。2024年6月に修正済みですが、残存リスクは「露出経路の有無」に大きく依存します。
パッチ適用と同時に、ネットワーク面の遮断（インターネットおよび業務端末からの到達遮断）とハンティング（vCenter/SSOの異常イベント・権限付与・不審なRPCエラー）を即時に始めるのが現実的な最小防御線です。

はじめに

仮想化の管理プレーンは、企業のIT運用における「中枢神経」です。ここを押さえられると、数百～数千のワークロードが一気に制御下に置かれ、復旧に必要な時間も桁違いに膨らみます。CISAがCVE-2024-37079を既知の悪用脆弱性（KEV）に追加したことで、事態は「対応したほうがよい」から「すぐに対応しなければならない」へと質的に変わりました。脆弱性そのものの深刻さに加え、攻撃者にとっての費用対効果が極めて高い「管理プレーン直撃型」であることが緊急性を押し上げています。
本稿では、事実関係を確認しつつ、現場運用のリアリティに寄せた優先順位づけと、攻撃者の狙いを外すための思考の置き場所を提示します。

深掘り詳細

事実関係（一次情報での確認）

CISAはCVE-2024-37079をKEVカタログに追加し、連邦政府機関に対し期日までの対処を義務付けています。KEV入りは「実際に悪用が観測された」かつ「リスク低減に有効な対処が存在する」ことを意味します。CISA KEVカタログ
当該脆弱性はvCenter ServerのDCE/RPC実装におけるヒープオーバーフローで、ネットワーク経由のプリオースでリモートコード実行につながると評価されています。CVSS v3は9.8（Critical）です。NVD: CVE-2024-37079
Broadcom（VMware）は2024年6月に修正を公開し、該当するvCenter Serverのアップデートを提供しています。併せて、同じくRCEに至るCVE-2024-37080や権限昇格のCVE-2024-37081も同アドバイザリで扱われています。運用上は同パッケージ群での包括適用が前提です。VMware Security Advisory VMSA-2024-0012
KEVに基づく是正期限の設定はCISAのBinding Operational Directive（BOD）22-01の枠組みによるもので、連邦機関に対して迅速なリスク低減を義務化する仕組みです。CISA BOD 22-01

参考（二次情報）：報道でも、CISAが当該脆弱性をKEVに追加し、期日までのアップデートを求めている旨が確認できます。The Hacker News

編集部の視点（なぜ今、何が危ないのか）

KEV入りは技術的深刻度だけでなく「攻撃者が実際に回しているプレイブック」に入ったことを意味します。仮想化管理面のRCEは、初期アクセス後の横展開・大量のワークロード停止・バックアップ破壊に直結しやすく、攻撃者の投資対効果が圧倒的に高いです。
現場での実務上の難所はパッチそのものより「管理プレーンへの到達経路の制御」にあります。意図せぬ公開（ジャンプホストの踏み台化、VPNスプリットトンネルの穴、監視ベンダ接続の横串など）が残っていると、パッチ適用前後のわずかな運用隙間が狙われます。
メトリクス全体像からも、緊急対応の実行可能性と攻撃発生確度の高さが読み取れます。すなわち、今は「完璧な対応」を目指すより、露出経路の遮断とパッチ適用、重要ログの保存・監視という“最小の防御線”をいち早く立てることが成果に直結します。
加えて、仮に侵入を許しても「管理プレーンでの権限拡大と永続化」をどう止めるかが勝負です。SSO側のMFA強制、権限グループとロールの日次差分監視、ESXi Lockdown Modeの徹底など、侵入後の伸長を阻む措置が被害規模を一桁変えます。

脅威シナリオと影響

以下は、現時点の公開情報に基づく仮説シナリオです。実案件では環境差が大きいため、ATT&CKのテクニックは代表例として参照ください。

シナリオA：インターネット露出vCenterの直接侵害（仮説）
- 初期アクセス: 公開されたvCenterへのプリオースRCE（T1190: Exploit Public-Facing Application）
- 実行・権限: vCenterアプライアンス上でのコマンド実行（T1059）、高権限化・コンテナやサービス権限の悪用（T1548）
- 永続化: SSO/Administratorグループへのアカウント追加（T1136: Create Account）
- 横展開: vSphere API経由でESXiホスト操作、管理ネットワーク上でのSSH/HTTPS横展開（T1021.001: Remote Services—SSH、T1021.004: Remote Services—vSphere/API相当）
- 影響: 大量VM停止・暗号化（T1486: Data Encrypted for Impact）、スナップショット/バックアップ無効化（T1490: Inhibit System Recovery）
シナリオB：社内侵入後の管理VLAN横展開（仮説）
- 初期侵入はメール/VPN経由（T1566、T1133）→内部偵察（T1046: Network Service Discovery）→管理VLANへ移動
- vCenterへのRCEで権限奪取後、バックアップ基盤やIDプロバイダへの連鎖攻撃（T1550: Use of Stolen Credentials、T1078: Valid Accounts）
- データ窃取と二重恐喝（T1041: Exfiltration Over C2 Channel）
事業影響
- 仮想基盤全体の停止は「単一システム障害」とは桁違いです。復旧はホスト／クラスタ／ストレージ／バックアップの整合性確認と秘密情報のローテーションを伴い、停止時間が長期化しやすいです。
- 経営面では、サービスSLA違反、法令対応（個人情報/機密の流出懸念）、対外開示、保険・ベンダ契約の条項問題などに発展しやすいです。

セキュリティ担当者のアクション

優先度は「露出経路の遮断」→「是正アップデート」→「侵害有無の即時確認」の順でテンポよく回すのが肝要です。

0～6時間：外気遮断と資産の特定
- vCenter（VCSA）/vSphere Client/SSO/関連管理UIがインターネットや業務端末セグメントから到達できないかを即チェックし、到達可能であれば遮断します（管理ネットワークへの閉域・VPN強制・許可リスト方式へ切替）
- 対象バージョンとパッチ適用可否を棚卸しし、EoL/EoSの有無を確認します（EoLはアップグレード計画を同時起案）
- ログ保全（vCenter/SSO/ホスト/ファイアウォールの当日～30日のローテート停止・安全な退避）
6～24時間：是正アップデートとローリング適用
- VMwareのアドバイザリ（VMSA-2024-0012）に沿って該当アップデートを適用します。CVE-2024-37079に加えCVE-2024-37080/37081も併せて解消する構成での適用を優先します。VMware VMSA-2024-0012
- 変更に伴う管理面の停止時間を短縮するため、クラスタ分割や優先度の低いワークロードからの段階適用を計画します。
侵害有無の早期確認（仮説に基づくハンティング）
- vCenter/SSOの重要イベントを確認します（例：SSOのAdministratorsグループへの新規ユーザ追加、グローバル権限の変更、未知のIPからの管理ログイン試行の増加）。
- vCenterアプライアンスのシステム/アプリログで、DCE/RPC関連の例外・クラッシュ、プロセス異常再起動、深夜帯の設定変更・タスク実行を確認します。
- ESXiホスト側でのLockdown Modeの無効化、SSH/ESXi Shellの有効化、証明書・鍵・syslog設定変更などの痕跡を確認します。
- 兆候があれば、ネットワーク隔離→証跡保全→SSO・APIトークン・証明書・秘密情報のローテーションを即実施します。
恒久対策（管理プレーンの「伸長」を止める）
- ネットワーク: 管理プレーンは専用セグメントに閉じ、踏み台/ジャンプホストの多要素認証（MFA）必須・IP許可リスト化を徹底します。
- 認証と権限: vCenter SSOへMFA適用、ロール最小化、特権アカウントのJust-in-Time付与、権限変更の差分監視を日次で回します。
- ホストハードニング: ESXi Lockdown Mode、SSH/ESXi Shellのデフォルト無効、構成バックアップと復元手順の演習を定例化します。
- 可観測性: vCenter/SSO/ESXiの監査イベントをSIEMへ集約し、権限変更・タスク作成・ログ設定変更・API大量呼び出しの検知ルールを整備します。
- ガバナンス: KEV入り脆弱性のSLA（検知当日遮断・3営業日以内の是正など）と、運用停止を伴う緊急パッチのエスカレーション経路を事前に合意します。

最後に。この種の管理プレーン直撃型のリスクは、「抜本対策の意思決定」が現場を救います。完璧な技術スタックよりも、外気遮断・MFA・最小権限・監査の四点セットを継続的に“飽きずに”回すことが、結果として最も大きな被害を防ぎます。今日の行動を、明日以降の平時運用の型につないでいきたいです。

参考情報

CISA Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
NVD: CVE-2024-37079: https://nvd.nist.gov/vuln/detail/CVE-2024-37079
VMware Security Advisory VMSA-2024-0012: https://www.vmware.com/security/advisories/VMSA-2024-0012.html
CISA Binding Operational Directive 22-01: https://www.cisa.gov/news-events/directives/bod-22-01
The Hacker News（報道）: https://thehackernews.com/2026/01/cisa-adds-actively-exploited-vmware.html

背景情報

i CVE-2024-37079は、DCE/RPCプロトコルの実装におけるヒープオーバーフローに起因する脆弱性であり、CVSSスコアは9.8です。この脆弱性を悪用することで、攻撃者はvCenter Serverに対してリモートコード実行を行うことが可能になります。
i この脆弱性は、Broadcomによって2024年6月に修正されましたが、悪用の証拠が確認されたため、連邦機関は早急に対策を講じる必要があります。

メトリクス