Last Updated on 2024-04-30 23:04 by 荒木 啓介
サイバーセキュリティ研究者たちは、過去5年間にわたり、Docker Hubを標的とした複数のキャンペーンを通じて、数百万の悪意のある「イメージレス」コンテナが植え付けられたことを発見した。これは、オープンソースのレジストリがサプライチェーン攻撃の道を開く可能性があることを再び強調している。JFrogのセキュリティ研究者、Andrey Polkovnichenkoによると、Docker Hubのリポジトリのうち400万以上がイメージレスであり、リポジトリのドキュメント以外に内容がないと報告されている。さらに、このドキュメントはコンテナとは何の関係もなく、ユーザーをフィッシングサイトやマルウェアをホスティングするウェブサイトに誘導するためのものである。
発見された479万のイメージレスDocker Hubリポジトリのうち、320万が3つの主要なキャンペーンの一環として、不審なユーザーを詐欺サイトにリダイレクトするためのランディングページとして使用されていた。これらのキャンペーンには、2021年上半期と2023年9月に作成されたリポジトリを含む「Downloader」キャンペーン、2021年中頃に作成されたリポジトリを対象とした電子書籍フィッシングキャンペーン、そして2021年4月から2023年10月にかけて毎日数千のリポジトリが作成された「Website」キャンペーンが含まれる。Downloaderキャンペーンでは、割れたソフトウェアへのリンクを提供するコマンドアンドコントロールサーバーにシステムメタデータを送信するように設計されたペイロードが配信される。
JFrogのセキュリティ研究シニアディレクター、Shachar Menasheは、「これらのキャンペーンの最も懸念すべき側面は、ユーザーが自己防衛のためにできることがほとんどないことであり、注意を払う以外に手段がない」と述べている。これらの脅威アクターは高い動機を持ち、Docker Hubの名声の背後に隠れて犠牲者を誘い込んでいる。開発者はオープンソースのエコシステムからパッケージをダウンロードする際に注意を払う必要がある。
【ニュース解説】
過去5年間にわたり、サイバーセキュリティ研究者たちはDocker Hubを標的にした複数のキャンペーンを通じて、数百万の悪意のある「イメージレス」コンテナが植え付けられたことを発見しました。これらのコンテナは、実際にはイメージやコードを含まず、リポジトリのドキュメントのみを持っていますが、そのドキュメントはユーザーをフィッシングサイトやマルウェアをホスティングするウェブサイトに誘導するために設計されています。
この問題の根本には、オープンソースのレジストリがサプライチェーン攻撃のための道を提供する可能性があるという事実があります。サプライチェーン攻撃とは、攻撃者が製品やソフトウェアの供給過程に介入し、悪意のあるコードを挿入することで最終的なユーザーに被害を与える攻撃のことです。Docker Hubの場合、攻撃者はイメージレスコンテナを利用して、ユーザーを詐欺サイトに誘導することでこの種の攻撃を実行しています。
この発見は、開発者やユーザーがオープンソースのエコシステムを利用する際に直面するリスクを浮き彫りにしています。オープンソースはそのアクセシビリティと柔軟性から多くの利点を提供しますが、同時に悪意のあるアクターによる悪用のリスクも伴います。このような攻撃は、ユーザーが自己防衛のためにできることが限られており、主に注意深く行動することが求められます。
この問題に対処するためには、開発者とユーザーは、ダウンロードするパッケージやコンテナの出所を慎重に確認し、信頼できるソースからのみコンテンツを取得する必要があります。また、オープンソースプラットフォームの運営者は、コンテンツの監視と管理を強化し、不正な活動を迅速に検出して対処するシステムを導入することが重要です。
長期的には、このような攻撃を防ぐためには、オープンソースエコシステム全体でのセキュリティ意識の向上と、より強固なセキュリティ対策の実施が必要です。開発者、ユーザー、プラットフォーム運営者が協力して、オープンソースの利点を保ちながらリスクを最小限に抑えることが、今後の課題となるでしょう。
from Millions of Malicious 'Imageless' Containers Planted on Docker Hub Over 5 Years.
