Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Docker API」狙う攻撃に注意 - 9月ごろより増加

不用意に公開されている「Docker」の「API」を狙い、不正なコンテナイメージを稼働させようとする攻撃が複数組織によって報告されている。

従来より管理の甘い「Docker」に対する攻撃が観測されているが、2020年後半に入ってからも攻撃が引き続き観測されているもの。

Cisco SystemsのTalosチームによれば、「Docker API」を標的として拡散するボットネット「Xanthe」の活動をあらたに検知した。暗号資産「Monero」のマイニングなどを行うもので、少なくとも3月ごろより活動をしていると見られるという。

脆弱性の検索エンジンである「Shodan」で調査すると、誤った構成で稼働する「Docker」は、日本を含めてワールドワイドで少なくとも6000以上稼働しており、標的となっていると危険性を指摘している。

またTrend Microでも、暗号資産のマイニングにくわえ、DDoS攻撃の機能を備えた不正な「Alpine Linux」のコンテナイメージを作成する攻撃を観測している。いずれも、SSHにおける鍵の登録状況を踏まえて、他ホストに対して拡散する機能も見られた。

20201202_cs_001.jpg
「Shodan」において外部公開されている「Docker API」が多く見つかった地域(画像:Cisco Systems)

(Security NEXT - 2020/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

米政府、「Pulse Connect Secure」狙うマルウェアの解析情報
富士フイルム、「ランサムウェア」感染と断定 - 身代金要求には応じず
欧州で拡散するAndroid狙うマルウェア「FluBot」 - 荷物追跡アプリ偽装
「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起
「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に
ランサムウェア「Ryuk」にワーム化した新亜種
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
「Emotet」感染後の対応、「駆除」だけでは不十分