Docker関連の脆弱性、仮想通貨「Monero」の採掘に悪用か

[鈴木聖子，ITmedia]

　DockerやKubernetesなどに使われているオープンソースのコンテナランタイム「runc」に脆弱性が見つかった問題で、セキュリティ企業のImpervaは3月4日、この脆弱性を突いて仮想通貨の採掘に利用されているDockerホストが多数見つかったと伝えた。

　2月に発覚したruncの脆弱性では、攻撃者がroot特権を獲得できてしまう可能性が指摘されていた。Impervaによると、この脆弱性と、リモートでDockerホストをコントロールするために使われているAPIを組み合わせれば、ホストを完全に制御できてしまう恐れがある。

　同社によれば、既に悪用されているDockerリモートAPIが多数存在しており、その多くは、制御したホストを仮想通貨の採掘に利用しているという。

　DockerリモートAPIは、デフォルトの設定では外部からはアクセスできないはずだが、設定ミスが原因で簡単にアクセスできてしまう状態になっているものも多数あることが判明。ImpervaがShodanで検索した結果、3822のDockerホストで、リモートAPIが公に露呈しているのが見つかった。そのIPに接続を試みたところ、アクセス可能なIPは約400に上っていた。

ImpervaがShodanで検索した結果、3822のDockerホストで、リモートAPIが露呈しているのが見つかった（出典：Imperva）

　こうしたDockerリモートAPI IPのほとんどは、仮想通貨Moneroの採掘に利用されていた。Moneroのトランザクションは難読化されていて、ソースなどを突き止めることはほぼ不可能だという。

　DockerリモートAPIがハッキングされれば、仮想通貨採掘のほかにも、ボットネットの構築やフィッシング詐欺、データ窃盗といった攻撃に利用される可能性があるほか、内部ネットワークに対する攻撃の足掛かりにもなりかねない。Impervaでは、Docker APIは信頼できるソースにしかアクセスできないよう、確実なセキュリティ対策を講じる必要があると指摘している。