Source: https://www.darkreading.com/cloud-security/attackers-docker-apis-tor-anonymity-crypto-heist
🛡 概要
最近、攻撃者がDocker APIの設定ミスを悪用し、クラウドベースのネットワークに侵入していることが明らかになりました。これにより、コンテナ化された環境にアクセスし、匿名性の高いTorネットワークを利用して暗号通貨のマイニングを行っています。Trend Microの研究者によれば、この攻撃は特にテクノロジー、金融サービス、医療などの「クラウド重視の分野」をターゲットにしていますが、コンテナ化アプリケーションを使用するすべての組織が脆弱である可能性があります。
🔍 技術詳細
Trend Microの研究者は、攻撃を観察するために意図的に公開されたDocker Remote APIサーバーを使用しました。攻撃は、特定のIPアドレスからサーバーに対してコンテナのリストを取得するリクエストから始まりました。攻撃者は「alpine」Dockerイメージに基づいたコンテナを作成し、ホストのルートをマウントします。この手法はホストシステムへのアクセスや操作に一般的に使用されます。さらに、攻撃者はコンテナ内にTorをセットアップし、隠れた「.onion」サーバーからリモートスクリプトを匿名で取得・実行します。この手法は、コマンド&コントロールインフラストラクチャを隠すために使われる一般的な戦術です。
⚠ 影響
この攻撃により、組織はコンテナ化された環境での暗号通貨の不正採掘に直面し、システムリソースが無断で使用されるリスクがあります。特に、Docker APIが公開されている場合、攻撃者は容易に侵入し、悪意のあるスクリプトを実行することが可能になります。このような脆弱性は、企業の信頼性やデータの安全性に重大な影響を与える可能性があります。また、攻撃が継続することで、クラウドリソースのコストが急増し、運用に支障をきたすことも考えられます。
🛠 対策
Trend Microは、組織がDockerのセキュリティ強化のためのガイドラインに従ってコンテナとAPIを適切に設定することを推奨しています。具体的には、信頼できるソースからのみアクセスを許可し、公式または認定されたイメージのみを使用することが重要です。また、コンテナはアプリケーションユーザーとして実行し、ルート権限での実行を避けることで、リスクを低減できます。定期的なセキュリティ監査を実施することで、怪しいコンテナやイメージを監視し、早期に対処することが可能です。これにより、組織はクラウド環境のセキュリティを向上させることができます。
