Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Docker API」狙う攻撃に注意 - 9月ごろより増加

不用意に公開されている「Docker」の「API」を狙い、不正なコンテナイメージを稼働させようとする攻撃が複数組織によって報告されている。

従来より管理の甘い「Docker」に対する攻撃が観測されているが、2020年後半に入ってからも攻撃が引き続き観測されているもの。

Cisco SystemsのTalosチームによれば、「Docker API」を標的として拡散するボットネット「Xanthe」の活動をあらたに検知した。暗号資産「Monero」のマイニングなどを行うもので、少なくとも3月ごろより活動をしていると見られるという。

脆弱性の検索エンジンである「Shodan」で調査すると、誤った構成で稼働する「Docker」は、日本を含めてワールドワイドで少なくとも6000以上稼働しており、標的となっていると危険性を指摘している。

またTrend Microでも、暗号資産のマイニングにくわえ、DDoS攻撃の機能を備えた不正な「Alpine Linux」のコンテナイメージを作成する攻撃を観測している。いずれも、SSHにおける鍵の登録状況を踏まえて、他ホストに対して拡散する機能も見られた。

20201202_cs_001.jpg
「Shodan」において外部公開されている「Docker API」が多く見つかった地域(画像:Cisco Systems)

(Security NEXT - 2020/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も
12月21日より「Emotet」感染メール増加 - あらためて警戒を
SolarWinds製品の侵害、米国中心に検出 - 国内でも
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用
福島県立医大付属病院で2度のランサムウェア被害
凶暴性増すランサムウェアの裏側 - 今すぐ確認したい「意外な設定」
「Emotet」だけじゃない - メール返信偽装、PW付zipファイル悪用マルウェアに要警戒
職員端末が「Emotet」感染、診療系システムには影響なし - 関西医科大
米政府、医療分野を標的としたランサムウェアに注意喚起 - DNSで通信して検知回避
次世代セキュリティ製品の検知回避を狙う「Emotet」