「Docker API」狙う攻撃に注意 - 9月ごろより増加
不用意に公開されている「Docker」の「API」を狙い、不正なコンテナイメージを稼働させようとする攻撃が複数組織によって報告されている。
従来より管理の甘い「Docker」に対する攻撃が観測されているが、2020年後半に入ってからも攻撃が引き続き観測されているもの。
Cisco SystemsのTalosチームによれば、「Docker API」を標的として拡散するボットネット「Xanthe」の活動をあらたに検知した。暗号資産「Monero」のマイニングなどを行うもので、少なくとも3月ごろより活動をしていると見られるという。
脆弱性の検索エンジンである「Shodan」で調査すると、誤った構成で稼働する「Docker」は、日本を含めてワールドワイドで少なくとも6000以上稼働しており、標的となっていると危険性を指摘している。
またTrend Microでも、暗号資産のマイニングにくわえ、DDoS攻撃の機能を備えた不正な「Alpine Linux」のコンテナイメージを作成する攻撃を観測している。いずれも、SSHにおける鍵の登録状況を踏まえて、他ホストに対して拡散する機能も見られた。
「Shodan」において外部公開されている「Docker API」が多く見つかった地域(画像:Cisco Systems)
(Security NEXT - 2020/12/02 )
ツイート
PR
関連記事
Ivanti製品狙う「RESURGE」、米当局が検知や復旧方法を公開
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か
「出前館」が3日間にわたりサービス停止 - マルウェア感染で
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
「Foxit PDF Reader」の警告画面に問題 - 悪用する攻撃も
露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
発覚2カ月前にもマルウェア実行の痕跡、情報流出は否定 - こころネット
