VMwareのSecurity Response Centerディレクター、イアン・マルホランド氏のブログ

　「VMware ESX」のソースコードが盗まれ、インターネット上に流出したが、これによりVMwareの顧客がリスクにさらされる可能性は低いと同社は強調している。

　VMwareはブログの中で、盗まれたコードは2003年もしくは2004年の任意の時点で作成された単独のファイルであることを明かした。

　ブログを書いた同社のSecurity Response Centerディレクター、イアン・マルホランド（Iain Mulholland）氏は、「ソースコードが公になったからといって、顧客に直ちに危険が及ぶわけではない」と述べている。

　「Kaspersky Threat Post」ブログによれば、問題のコードは、China Electronics Import ＆ Export Corporation（CEIEC）と呼ばれる中国企業が、今年3月にセキュリティ侵害を受けた際に盗まれたのだという。

　盗まれたというVMware ESXのソースコードは、VMwareの社内電子メール数通とともに、4月22日にインターネット上にさらされた。

　今回のソースコード流出が顧客に及ぼす影響に関し、もっと情報がほしいとVMwareに取材を試みたものの、回答はまだ得られていない。

　仮想化セキュリティ企業のHytrustで社長を務めるエリック・チウ（Eric Chiu）氏は、暴露されたコードが現行製品においてどのように利用されているのか詳細がよく分からないため、VMwareの顧客が取るべき対策についてアドバイスすることは難しいと語った。

　それでも、VMwareの顧客は仮想化環境のセキュリティ状態を今一度見直し、ハイパーバイザのソースコードがさらされたことによって、複数の仮想マシンがリスクを被るかもしれない現実を把握しておく必要があるという。

　今回のインシデントは、2011年にRSA Securityのソースコードが侵害を受けた件を彷彿とさせるが、両者の背景は異なる。RSAの一件は、同社のパートナー企業がセキュリティ侵害にあい、これをきっかけにRSAの社員にマルウェアが添付された電子メールが送信され、複数の社員がこのメールを開封してしまったことが発端だ。

　VMwareのほうは、CEIECのネットワークがハッキングされ、ソースコードが偶然発見されたというかたちだ。

　VMwareはこのインシデントに関して、次のようにブログにつづっている。

　「2012年4月23日、当社のセキュリティ・チームが、VMware ESXのソースコードに含まれる1つのファイルが公開されていること、今後さらに多くのファイルが公開されるかもしれないことに気がついた。暴露されたコードおよびこれに付随するコメントは、2003年から2004年の任意の時点のものである」（VMwareのブログより）

　「同ソースコードが公開された事実は、VMwareの顧客が直面するリスクが高まることを直接意味するわけではない。VMwareはソースコードやインタフェースを自ら公にし、業界に属するサードパーティが今日存在する広範な仮想化エコシステムを作り上げるのに貢献している。我々は、顧客の安全を深刻に受け止めており、現在もVMware Security Response Centerをはじめとする内外のリソースを活用しつつ、徹底的な調査を進めているところだ。新たな情報が出てきた場合は、VMwareコミュニティに最新状況を知らせていくつもりでいる」（VMwareのブログより）

(Tim Greene／Network World米国版)