Dockerを狙う新型マルウェアが登場 巧妙な手口を解説：セキュリティニュースアラート

Darktraceは、Docker環境を狙った新たなマルウェアキャンペーンを発見した。複数のレイヤーによって構成されている難解なコードおよび独自の仮想通貨マイニング手法（クリプトジャッキング）が確認されている。

[後藤大地，有限会社オングス]

　英国のサイバーセキュリティ企業であるDarktraceは2025年4月22日（現地時間）、コンテナ型仮想化環境向けのプラットフォーム「Docker」を標的とした新たなマルウェアキャンペーンを発見したと発表した。

　今回の攻撃では、複数のレイヤーによって構成されている難解なコードおよび独自の仮想通貨マイニング手法（クリプトジャッキング）が確認されている。

無防備なDocker環境を標的とするマルウェアが登場　その巧妙な侵入手口

　この攻撃は「Docker Hub」からコンテナ、具体的には「kazutod/tene:ten」イメージを起動するリクエストから始まる。このDockerイメージには「ten.py」というPythonスクリプトが内蔵されており、その中にマルウェアが隠されていたことが判明している。スクリプトは一見しただけでは動作内容が分かりにくく、実際の動作を理解するにはBase64でエンコードされ、さらにzlibで圧縮した文字列を複数回復号する必要があったという。

　このマルウェアの特徴は、従来のようにCPUを使って直接仮想通貨を採掘するのではなく、「Teneo」というWeb3系のサービスに接続し、定期的に信号を送信することで報酬を得る仕組みを悪用している点にある。Teneoは分散型のSNS情報収集ネットワークであり、ユーザーは貢献に応じて「Teneo Points」というトークンを受け取る。攻撃者はこれを利用して、実際には何のデータ提供もせずに報酬を得ようとしていたとみられる。

　この手法は、従来のマイニングに使われていた「XMRig」などのツールが検知されやすくなっていることから、より目立ちにくい代替手段として採用した可能性がある。ただしこの方法の収益性や実際の成果については、トークンの性質が非公開であることから特定することは難しいとしている。

　Darktraceは、Dockerが日々多くの攻撃を受けており、特にインターネットに直接公開されている環境は極めてリスクが高いと警告している。Dockerを利用する際は、基本的に外部に公開しないこと、やむを得ず公開する場合でも認証やファイアウォールを適切に設定し、アクセスを制限することが強く推奨される。わずか数分の油断が、深刻な侵害につながる恐れがある。