windows – ホストマシンはウイルスに感染した仮想マシンから完全に隔離されていますか?

anti-virus security virtual-machine virus windows

VMWareやVirtualBox(その他何でも)を使用してWindows 7のホスト上でWindows 7の仮想マシンを実行していて、仮想マシンがウイルスやその他の悪意のあるソフトウェアで完全にオーバーロードされている場合、ホストマシンのことを心配した方がいいのでしょうか?

ホストマシンにアンチウィルスプログラムがあれば、問題は検出されますか?

  54  Diogo  2011-05-26

ベストアンサー

これまでのすべての回答が見逃していたのは、ネットワーク接続やファイル共有だけでなく、仮想マシンの他のすべての部分、特にハードウェアの仮想化に関して、より多くの攻撃ベクトルがあるということです。その良い例として、ゲストOSがエミュレートされた仮想COMポートを使ってVMwareコンテナから抜け出すことができるという例を以下に示します(参考文献2)

もう一つの攻撃ベクトルは、ほとんどすべての最新プロセッサに共通して含まれており、デフォルトで有効になっていることもありますが、x86 仮想化です。仮想マシン上でネットワークを有効にすることが最大のセキュリティリスクであると主張することはできますが (実際、それは考慮すべきリスクです)、ネットワークを介して他のすべてのコンピュータ上で送信される方法でウイルスが送信されるのを阻止するだけです。これは、アンチウィルスやファイアウォールソフトウェアが使用しているものです。とはいえ

仮想マシンから実際に「脱獄」することができるウイルスが発生しており、これは過去に文書化されています(詳細や例については下記の参考文献1と2を参照してください)。議論の余地のある解決策は x86 仮想化を無効にすることですが (仮想マシンを実行してパフォーマンスの低下を受ける)、最新の (まともな) アンチウイルスソフトウェアは、限られた理由の範囲内でこれらのウイルスからあなたを保護することができるはずです。DEPでさえ、ある程度の保護を提供しますが、ウイルスが実際のOS上で実行されるときには、それ以上のものはありません(VMではありません)。繰り返しになりますが、以下の参考文献を参照してください。ネットワークアダプタや命令の仮想化/変換(例えば、仮想COMポートや他のエミュレートされたハードウェアドライバ)以外にも、マルウェアが仮想マシンから抜け出す方法はたくさんあります

さらに最近では、I/O MMU 仮想化を追加して、DMAを可能にするほとんどの新しいプロセッサにしています。それは、CPU上で直接コードを実行することができることに加えて、ウイルスを持つ仮想マシンが直接メモリとハードウェアにアクセスできるようにすることのリスクを見るためにコンピュータ科学者を取ることはありません

私がこの答えを提示したのは、他のすべてのものが、あなたがファイルから自分自身を保護する必要があると信じさせるためですが、ウイルスコードを直接あなたのプロセッサ上で実行することができるようにすることは、私の意見でははるかに大きなリスクです。マザーボードによっては、デフォルトでこれらの機能を無効にしているものもありますが、そうでないものもあります。これらのリスクを軽減する最善の方法は、実際に必要としない限り、仮想化を無効にすることです。必要かどうかわからない場合は、無効にしましょう

仮想マシンソフトウェアの脆弱性を標的とするウイルスがあるのは事実ですが、プロセッサやハードウェアの仮想化、特に追加のホストサイドエミュレーションを必要とするものを考慮に入れると、これらの脅威の深刻度は飛躍的に高まります

  1. Themidaによる仮想化x86命令の回復方法(Zhenxiang Jim Wang, Microsoft)

  2. Escaping VMware Workstation through COM1(Googleセキュリティチーム、Kostya Kortchinsky氏)

62  cp2141  2011-07-08

共有フォルダを使用している場合や、VMとホストの間でネットワーク上の相互作用がある場合は、潜在的に心配する必要があります。潜在的というのは、悪意のあるコードが実際に何をするかによります

共有フォルダを使用せず、ネットワークを有効にしていなければ問題ありません

ホストマシン上のアンチウイルスは、共有されているものがない限り、VM内ではどのようなスキャンも行いません

17  squillman  2011-05-26

VMがVMWare ToolsのようなVM Softwareを悪用することを目的としたウイルスに感染していれば、抜け出すことは可能ですが、今のところこれを可能にするものはないと思います。また、脆弱性のあるホストであれば、ネットワーク経由で悪用される可能性もあります

ホストシステム上のアンチウイルスは、共有フォルダに座っていない限り、VM内のウイルスを見るべきではありません

7  Riguez  2011-05-27

大丈夫なはずです、ファイル共有へのアクセスをオフにして、最初の感染期間の後にVM内のnicを殺す

0  None  2011-05-26

スポンサーリンク
タイトルとURLをコピーしました