Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Docker」設定ミス狙う攻撃に注意 - マルウェア感染のおそれ

コンテナ型の仮想環境を実現する「Docker」のコミュニティ版において、利用者が不用意に公開しているAPIを突いてマルウェアを拡散させる攻撃が9月下旬から確認されている。

攻撃を確認したトレンドマイクロによれば、「Docker Community Edition」において、イメージの遠隔管理などに利用するAPIを狙った攻撃を確認しているという。

「Docker」そのものの問題ではなく、設定ミスなど利用者の隙を突いた攻撃で、不用意に外部へ公開されているTCP 2375番ポートおよびTCP 2376番ポートよりAPIが操作され、不正なコンテナを作成されるおそれがある。

今回同社が確認した攻撃では、「wget」のパッケージをインストールした上でマルウェアを自動的にデプロイするスクリプト「auto.sh」をダウンロード、実行していた。

20181107_tm_001.jpg

一連の攻撃を通じて仮想通貨「Monero」をマイニングする「Coinminer.SH.MALXMR.ATNE」に感染させるほか、攻撃者以外が実行したマイニングプロセスの停止やリソースの確保、ネットワークをスキャンしてさらに感染を拡大しようとしていた。

同社が確認した同マルウェアの感染端末は、TCP 2375番ポートおよびTCP 2376番ポートが開放されていたという。

同社が、脆弱性検索サイトの「Shodan」でこれらポートの公開状況を調べたところ、中国をはじめ、米国、フランス、ドイツ、シンガポール、オランダ、イギリス、インド、アイルランドのほか、日本でも確認された。

同社は、利用にあたっては開発者より提供されているドキュメントなど確認し、ポートにおけるアクセス制限や通信の暗号化をはじめ、セキュリティ対策を実施するよう呼びかけている。

(Security NEXT - 2018/11/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

9カ国調査、コンシューマーの半数でサイバー被害 - 日本は4割
ログイン可能機器、約9000万IPアドレスで147件 - 「NOTICE」調査結果
カンファレンス「JSAC 2019」の講演動画がYouTubeで配信開始
実務者向けイベント「JSAC 2020」が開催決定 - CFPを開始
過去1年に企業の14.2%が被害を経験 - 8%がランサム被害
「NICTER」でマルウェア感染機器を特定 - ISPより注意喚起
不正モバイルアプリ、1Qは減少 - ただし不正送金アプリは増加傾向
脆弱な「phpMyAdmin」の探索行為を多数観測 - IIJ
2018年はランサム活動が縮小 - RaaSの「GandCrab」に活発な動き
「セキュリティ・キャンプ全国大会2019」の参加者募集がスタート