Last Updated on 2024-06-07 12:10 by 荒木 啓介
数ヶ月にわたり、サイバー犯罪者たちは誤設定されたDockerコンテナを利用して、暗号通貨のマイニングソフトウェアを展開する活動を行っている。この攻撃キャンペーンは「Commando Cat」と名付けられ、年初から確認されている。Trend Microの最新の報告によると、攻撃者はDockerの設定ミスを悪用してコンテナ化された環境への不正アクセスを試み、Dockerイメージを使用して暗号通貨マイナーを展開し、利益を得ている。
攻撃者は、DockerのリモートAPIサーバーとして公開されているエンドポイントを特定し、アクセス手段として利用する。その後、オープンソースツールCommandoを使用して無害なDockerイメージをデプロイし、新しいコンテナを作成する。そして、「chroot」Linux操作とボリュームバインディングを使用して、コンテナの外側を覗き込み、最終的にホストオペレーティングシステムに脱出する。結果として、コマンドアンドコントロール(C2)チャネルを確立し、暗号通貨ジャッキングマルウェアをアップロードする。
Trend Microは、攻撃リスクを軽減するために、公式または認証されたDockerイメージのみを使用し、コンテナをroot権限で実行しないようにし、定期的なセキュリティ監査を実施し、コンテナとAPIに関する一般的なガイドラインとベストプラクティスに従うことを推奨している。そして、DockerコンテナのAPIがインターネットに直接アクセス可能でないようにすることが強調されている。
【ニュース解説】
近年、サイバーセキュリティの分野では、Dockerコンテナの誤設定を悪用する攻撃が増加しています。その一例が「Commando Cat」と名付けられた攻撃キャンペーンです。このキャンペーンでは、攻撃者がDockerの設定ミスを利用して、コンテナ化された環境に不正アクセスし、暗号通貨マイニングソフトウェアを展開しています。この手法により、攻撃者は短期間で利益を得ることが可能になります。
Dockerコンテナは、アプリケーションのデプロイメントを簡素化し、環境の一貫性を保つために広く利用されています。しかし、この技術の普及に伴い、セキュリティの誤設定が攻撃者に悪用されるリスクも高まっています。Commando Catの攻撃では、公開されているDockerのリモートAPIサーバーをターゲットにし、オープンソースツールを使用して無害なDockerイメージをデプロイします。その後、攻撃者は「chroot」操作やボリュームバインディングを駆使して、コンテナから脱出し、ホストオペレーティングシステムにアクセスします。これにより、コマンドアンドコントロール(C2)チャネルを確立し、暗号通貨ジャッキングマルウェアをアップロードすることが可能になります。
この攻撃は、単に暗号通貨を不正に採掘するだけでなく、より深刻なセキュリティ侵害へと発展する可能性があります。例えば、攻撃者がシステムに永続的なアクセスを確立したり、機密情報を盗み出したりすることも考えられます。そのため、Trend Microは、公式または認証されたDockerイメージの使用、root権限でのコンテナ実行の避ける、定期的なセキュリティ監査の実施、そしてコンテナとAPIに関するベストプラクティスの遵守を推奨しています。
このような攻撃から組織を守るためには、セキュリティ対策の徹底が不可欠です。特に、DockerコンテナのAPIがインターネットに直接アクセス可能でないようにすることが重要です。また、セキュリティのベストプラクティスに従い、定期的な監査を行うことで、誤設定や脆弱性を早期に発見し、対処することが可能になります。このような対策を講じることで、Commando Catのような攻撃から組織のセキュリティを守ることができます。
from 'Commando Cat' Digs Its Claws into Exposed Docker Containers.
