Last Updated on 2024-10-01 06:39 by admin
Dockerは、JFrogの研究者が発見した約300万の公開リポジトリを削除した。これらのリポジトリは画像がなく、悪意のあるコンテンツへのリンクを含む説明ページのみが存在していた。これらのリポジトリは、スパムやマルウェアの配布に利用されていた3つの大規模キャンペーンに関連していると特定された。Dockerは、画像のないリポジトリの説明ページに外部リソースへのリンクを防ぐ新しいメカニズムを導入した。
JFrogによると、過去5年間にDocker Hubに公開された約460万の画像のないリポジトリのほとんどに、悪意のある性質のメタデータが関連付けられていた。攻撃者は、悪意のあるリポジトリをアップロードするために208,739の偽アカウントを使用した。これらのリポジトリは、Docker Hubの信頼性を利用してフィッシングやマルウェアのインストールを試みるもので、プラットフォームの監視の必要性を浮き彫りにした。
攻撃者は、Docker Hubに画像のないコンテナをアップロードし、説明ページにスパム、フィッシング、マルウェアサイトへの埋め込みリンクを含めることができた。この問題は、2021年と2023年に2回の大量アップロードが行われたことで明らかになった。JFrogは、2021年のアップロードの多くが、ユーザーに海賊版コンテンツやビデオゲームのチートをダウンロードさせるキャンペーンに関連していることを突き止めた。また、別のキャンペーンでは、クレジットカード情報を盗むことを目的とした無料の電子書籍フィッシングが行われていた。
Docker Hubへの攻撃の開示後、Dockerは画像のないリポジトリの説明ページに外部リソースへのリンクを埋め込むことをブロックする保護メカニズムを実装した。この攻撃がどれほど効果的だったかは不明だが、攻撃者はDocker Hubのような正当なサイトを利用して、悪意のあるファイルへのリンクを含むページをホストすることで、ユーザーを騙そうとした可能性がある。
【ニュース解説】
Docker Hubは、開発者や組織がコンテナイメージを共有し、検索するためのクラウドベースのサービスです。このプラットフォームは、ソフトウェア開発の現代的なプラクティスにおいて重要な役割を果たしています。しかし、最近の調査で、Docker Hubが悪意ある攻撃者に悪用されていたことが明らかになりました。JFrogの研究者たちは、約300万の公開リポジトリが画像を含まず、代わりに悪意のあるコンテンツへのリンクを含む説明ページのみを持っていることを発見しました。これらのリポジトリは、スパムやマルウェアの配布に利用されていたと特定されました。
この問題の根本には、Docker Hubのポリシーがあります。このポリシーでは、ユーザーがコンテナイメージと共に短いテキストの説明やメタデータをHTML形式で公開できるようになっています。この機能は、ユーザーがプロジェクトに役立つイメージを簡単に検索し、見つけることを目的としていますが、攻撃者はこの機能を悪用して、画像のないコンテナをアップロードし、説明ページに悪意のあるリンクを埋め込むことができました。
この攻撃は、Docker Hubの信頼性を利用して、フィッシングやマルウェアのインストールを試みるものでした。攻撃者は、海賊版コンテンツやビデオゲームのチートをダウンロードさせるキャンペーンや、クレジットカード情報を盗むことを目的とした無料の電子書籍フィッシングなど、複数のキャンペーンを実施していました。
この問題に対処するため、Dockerは画像のないリポジトリの説明ページに外部リソースへのリンクを埋め込むことをブロックする保護メカニズムを実装しました。これは、プラットフォームの安全性を高めるための重要なステップですが、攻撃者が新たな手法を見つける可能性もあるため、引き続き警戒が必要です。
この事件は、クラウドベースのサービスがどのようにして悪意ある活動の対象となり得るかを示しています。プラットフォームの信頼性を悪用することで、攻撃者はユーザーを騙し、悪意のあるコンテンツに誘導することができます。このため、サービス提供者は、プラットフォームの安全性を維持するために、常に監視と更新を行う必要があります。また、ユーザーも、信頼できるソースからのみコンテンツをダウンロードするなど、セキュリティ意識を高めることが重要です。
from Attackers Planted Millions of Imageless Repositories on Docker Hub.