Broadcomは、VMware Tools for Windowsに発見されたCVE-2025-22230の脆弱性について、重大なセキュリティリスクが存在すると警告している。これはPositive TechnologiesのSergey Bliznyuk氏によって報告されたもので、CVSSスコア7.8を記録する高リスクの認証バイパスに該当する。

この脆弱性は、攻撃者がユーザー操作なしに権限昇格を可能にする点で特に危険視されており、仮想マシン内での管理者権限取得を介した横移動やサービス妨害といった被害の発生が懸念される。VMware Toolsの11.xおよび12.xすべてのバージョンが影響を受け、対策としては3月に提供された12.5.1へのアップデートのみが有効とされる。

VMware製品はエンタープライズ環境に広く浸透しており、その重要性ゆえに脅威アクターの標的となりやすい。今回の修正は、仮想基盤のセキュリティ確保において緊急性の高い対応と位置付けられる。

CVE-2025-22230の技術的構造と攻撃の現実性

今回の脆弱性CVE-2025-22230は、VMware Tools for Windowsに内在する不適切なアクセス制御によって生じている。Broadcomによれば、攻撃者は対象の仮想マシン上でユーザー操作なしに管理者権限の取得が可能となる設計上の欠陥を突くことができるとされる。CVSS基本スコアは7.8と高く、低複雑度かつ認証不要の条件がそろっており、攻撃のハードルは低いと評価されている。

この脆弱性は、ゲストVMに侵入した非特権ユーザーが、システム上で本来許可されない操作を実行可能にする点に特徴がある。これにより、仮想化基盤内の水平的な移動や、他VMへの影響、さらには仮想ホストそのものへの干渉の道が開かれる。VMware Toolsはパフォーマンス最適化のために広範な権限を持つため、内部の脆弱性が即座にセキュリティ上の重大なリスクへと直結する構造になっている。

VMware製品は企業の基幹業務に密接に関わる領域で活用されており、仮想マシン1台の被害がシステム全体へ波及する危険性もはらむ。こうしたリスク特性を踏まえると、本脆弱性が持つ実務上の深刻さは決して過小評価できない。

仮想環境の脅威と更新管理の喫緊性

Broadcomは、この認証バイパスの脆弱性に対し、代替策が存在しないことを明確にしており、火曜日にリリースされたVMware Tools 12.5.1へのアップデートを唯一の対応手段として提示している。影響を受けるバージョンは11.xおよび12.xすべてに及び、幅広い利用環境で即時対応が求められる状況である。

特筆すべきは、VMware Tools for LinuxやmacOSが本件の影響外である点であり、Windowsベースの仮想環境に限定された問題であることが確認されている。しかし、企業の多くがWindows仮想マシンを中心に構成している現実を鑑みると、影響範囲は決して限定的とは言い難い。

今月初めにも、VMware ESXiやWorkstation、Fusion製品に深刻な脆弱性が報告されており、仮想基盤全体のセキュリティに対する圧力は一段と強まっている。

脆弱性が非公開で報告され、外部からの悪用が確認されていない点は一定の安心材料ではあるものの、更新適用の遅れがそのまま脅威の拡大につながる可能性を含む。更新管理を後回しにする構造的課題が依然として存在する以上、セキュリティパッチの即時展開を促す組織的な体制構築が求められている。

Source:CSO Online