本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性に関する情報を取り上げ、解説しています。 今回から数回に分けて、セキュリティ技術の会の佐藤琳音が執筆します。具体的には、OSSのプロセッサエミュレータである「QEMU(キューエミュ)」の脆弱性を悪用したVM(仮想マシン)エスケープ攻撃に関する事例を紹介します。 脆弱性の概要 2016年、CrowdStrike シニアセキュリティリサーチャーのJason Geffner氏はQEMUの仮想フロッピードライブコントローラのコードに存在するバッファーオーバーフローの脆弱性を発見しました。この脆弱性が悪用された場合、攻撃者が仮想マシンから抜け出し、ホスト側のシステムに対してアクセスし、任意のコード実行が可能となる恐れがあると「CVE-201503456」で報告されています。 また2011年には、N