2025年12月5日公開
CISA(アメリカ国土安全保障省サイバーセキュリティ庁)と NSA(国家安全保障局)が、仮想化基盤を狙う新型マルウェア「BRICKSTORM(ブリックストーム)」の急速な拡散について緊急アラートを発表しました。とくに VMware ESXi と Windows Server 環境を組み合わせて利用している企業・行政組織・教育機関にとって、大きなリスクとなっています。
今回の記事では、
「いったい何が起きているのか?」
「どこまで被害が広がっているのか?」
「原因はどこにあり、どう対処すればいいのか?」
という疑問を、技術に詳しくない読者でも引っかからず読み進められるよう、少し立ち止まって丁寧に紐解いていきます。
- # BRICKSTORM とは何か──CISA・NSA が同時に警告を出す“異例”の理由
- # 事故発生の“日時感”と拡散のスピード感
- # 被害は特定ユーザー層に偏っている?
- # BRICKSTORM の攻撃手法:技術的ポイントを“噛み砕いて”説明
- # 公式が発表した原因の見解(推定を含む)
- # ユーザーからの生の声:Reddit・X で広がる不安と体験談
- # 公式の対応状況:パッチはまだ不完全、対処は回避策が中心
- # いま緊急でやるべきこと──専門外の管理者でもできるチェック
- # なぜこの攻撃は発見が遅れるのか?
- # いま後悔しないための“最後のチェックリスト”
- # コメント欄で議論されている“気になる話題”
- # まとめ:いま最も重要なのは“早期の気づき”と“バックアップの死守”
# BRICKSTORM とは何か──CISA・NSA が同時に警告を出す“異例”の理由
BRICKSTORM は VMware ESXi と Windows Server の管理レイヤーを狙い撃ちし、仮想化基盤のコントロールを奪う高機能マルウェアです。
ESXi のバージョン 7 / 8 を中心に感染例が報告され、Windows 側では Server 2016・2019・2022 のいずれも影響を受ける可能性があるとされています。ここが厄介で、特定のビルド番号だけが狙われる“限定攻撃”ではなく、広範囲の構成が危険にさらされています。
CISA はアラートの中で、BRICKSTORM が ESXi の管理ポートを通じて侵入し、Windows のドメインコントローラー側に横展開する二段式の攻撃フローを持っている点を強調。これにより、感染後の発見が遅れやすく、環境全体がまとめて麻痺状態に追い込まれるケースが複数報告されています。
少し怖い話をすれば、ESXi が落とされるとバックアップのマウントまで妨害されるため、復旧作業が思うように進まない事例がすでに海外のフォーラムで共有され始めています。
# 事故発生の“日時感”と拡散のスピード感
公式アラートが出たのは 2025 年 12 月 3 日(米国時間)で、48 時間以内に少なくとも 14 件の被害報告が Reddit と X(旧 Twitter)で確認されました。
サイバー攻撃としては異常な速度です。というのも、BRICKSTORM は自律的にネットワーク範囲をスキャンし、ESXi の管理 API や PowerShell 経由のコマンドを自動投下する仕組みを持つため、いったん侵入されると自動的に感染が連鎖していきます。まるで、どこかの端末に火がついた瞬間、周囲のラックに“パチパチッ”と火花が飛び散るようなイメージです。
# 被害は特定ユーザー層に偏っている?
CISA が公表した調査資料を読むと、被害は以下の環境に明確に集中しています。
企業のオンプレサーバーで、ESXi と Windows Server を同一ネットワークに置いている構成。
つまり中小企業や地方自治体の典型的な構成がそのままリスク領域に入っています。クラウド単体で完結している環境(AWS・GCP・Azure)では現在のところ被害報告はありませんが、ハイブリッド構成だと影響する可能性があるため油断できません。
# BRICKSTORM の攻撃手法:技術的ポイントを“噛み砕いて”説明
最大の特徴は、ESXi と Windows の双方に足場を作り、権限昇格を繰り返す多段攻撃であることです。
攻撃者が利用するルートは主に三つ。
(1) ESXi の管理ポート(TCP 443)に対する未パッチの脆弱性を突く
(2) Windows Server に残された古い SMB 認証方式を悪用する
(3) vCenter との通信パスに割り込み、偽ログを注入して管理者の追跡を遅らせる
この流れで ESXi 内の仮想マシン一覧を抜き取り、その情報をもとに Windows 側のアカウント探索を実施します。こうなると、ネットワーク管理者が異常に気づくころには内部で複数のバックドアが“根付いて”しまっていることが多いわけです。
# 公式が発表した原因の見解(推定を含む)
CISA・NSA の分析では、
原因は「古い管理ポート設定の放置」「未パッチの ESXi API」「Windows 認証方式の混在」による複合リスク
とまとめられています。
もう少し雑に言うと、
“完全に最新ではない環境が組み合わさると、その隙間を突かれて侵入される”
ということです。ESXi 7 系列のアップデート適用率が低い組織ほど、感染が顕著に見られました。
# ユーザーからの生の声:Reddit・X で広がる不安と体験談
海外フォーラムには、すでに複数の悲鳴に近い声が投稿されています。
Reddit の /r/sysadmin では
「ESXi 7.0U2 が急に再起動ループに落ちて、vCenter にもアクセスできなくなった。ログを見たら“unknown shell activity”が大量に残っていた」
という投稿が共有され、同じような現象が起きた管理者が “me too” と応答しています。
X では、
「Windows Server 2019 が突然ドメイン同期エラーを出しはじめた。その直後に ESXi 側の VM 管理画面が真っ白になった」
という報告も上がり、複数ユーザーが“BRICKSTORM の初期症状では?”と議論を交わしていました。
このように、単独の障害としてあらわれるケースが多く、症状が“点で見える”ために発見が遅れがちなのが厄介なところです。
# 公式の対応状況:パッチはまだ不完全、対処は回避策が中心
現時点(2025 年 12 月 5 日時点)で、完全な修正パッチはまだ提供されていません。
CISA と NSA は「暫定的な回避策」として次の対処を強く推奨しています。
(1) ESXi の管理ポートを外部公開している場合、即時閉鎖する
(2) vCenter の証明書を再発行し、ログイン履歴を遡って確認する
(3) Windows Server の SMBv1 を停止し、NTLM 認証の使用状況をチェックする
(4) 不審な仮想マシンの生成履歴がないかを調べる
(5) バックアップストレージが独立経路でアクセス可能かどうかを検証する
このうち、特に重要なのが「バックアップ経路の確認」。BRICKSTORM はバックアップのネットワーク経路を優先的に妨害するクセがあるようで、複数の管理者が**“バックアップはあるのに復元できない”**という恐怖の状況に追い込まれています。
# いま緊急でやるべきこと──専門外の管理者でもできるチェック
とはいえ、すべてをいきなり完璧に対応するのは難しいので、まずは“いま手を止めて確認できること”だけをまとめます。
(1) ESXi にログオンして、/var/log/auth.log に不審なログがないか見る
(2) vCenter で「最近のタスク」に見覚えのない VM パワー操作がないか確認する
(3) Windows Server で“イベント ID 4625 の連打”が起きていないか調べる
(4) バックアップサーバーへ単独で ping が通るかテストする
(5) 管理者アカウントの最後のパスワード変更日時を必ず確認する
この 5 つだけでも、異常の早期把握には大きく役立ちます。
特に Windows のイベント ID 4625 連打(ログイン失敗の連続)は、攻撃者が内部に入り込んだサインとしてよく見られるので、真っ先に見ておくと安心です。
# なぜこの攻撃は発見が遅れるのか?
BRICKSTORM が“静かに”侵入し、“派手に”破壊するタイプだからです。
最初の侵入段階ではログを微妙に書き換え、通常の管理操作に擬態するような動きをします。だから、症状が出た瞬間にはすでに内部が荒らされている、という最悪のタイミングになりがちなんですね。
海外のフォーラムでは
「ログに不審な IP が数行あるだけで、そこから調べても手遅れだった」
という報告が複数出ています。
# いま後悔しないための“最後のチェックリスト”
BRICKSTORM の特徴を踏まえ、管理者が今日このあと確認すべき項目をもう一度整理します。
(1) ESXi の管理ポートが閉じているか
(2) vCenter の証明書に不審な期限・発行日がないか
(3) Windows の認証方式が古い設定のまま残っていないか
(4) バックアップへのアクセスが独立経路になっているか
(5) 管理アカウントの権限が不要に広すぎないか
どれか一つでも引っかかったら、念のため内部監査を開始することをおすすめします。やりすぎくらいがちょうどいい状況です。
# コメント欄で議論されている“気になる話題”
すでに海外のコミュニティでは、
「Cloudflare の 500 Internal Error 障害とタイミングが近いが関係は?」
「ESXi を狙う攻撃の増加と、今年のランサムウェアの傾向がリンクしてる?」
といった話題が盛り上がっており、攻撃者がインフラ面全体を揺さぶろうとしているのではないか、という議論まで出ています。
もちろん現状では関連性は不明ですが、表面的に無関係に見えるインシデントが背後で一本の線につながることは珍しくありません。情報交換の場が活発になるのは、ある意味で健全な動きでもあります。
# まとめ:いま最も重要なのは“早期の気づき”と“バックアップの死守”
今回の CISA・NSA の警告は、単なる注意喚起にとどまらず、**「問題はすでに国内外で起きている」**という強い危機感を伴うものです。
BRICKSTORM は発見が遅れるほど復旧が大変になり、しかも ESXi と Windows の両側で破壊行動が起きるため、被害規模が通常のマルウェアより一段大きくなりがちです。
だからこそ、
“異常にすぐ気づく仕組みを作ること”
“バックアップを絶対に守ること”
この二点が、あなたの環境を救う決め手になります。
もし読者のみなさんの環境で気になる兆候があれば、ぜひコメント欄で共有してください。同じ悩みを抱える管理者が、あなたの一言に助けられるかもしれません。
