本ブログでは2021年11月30日の記事で、侵害されたDocker Hubアカウントが暗号資産(旧仮想通貨)の採掘活動(マイニング)に悪用されていたほか、これらの活動がサイバー犯罪者グループ「TeamTNT」に関連していたことを明らかにしました。それらのアカウントは現在削除されていますが、トレンドマイクロは、これらの侵害されたアカウントに関連するTeamTNTの活動を追跡調査することができました。
トレンドマイクロは、上記の活動に加えて、同グループが異なる環境内で実施したいくつかの不正な活動を確認しました。そのうちの1つは、Weaveworks社の提供する正規ツール「Weave Scope」を悪用して、展開されたコンテナの監視・制御を行っていたことです。
続きを読むトレンドマイクロは脅威動向調査の一環として、攻撃者が積極的に悪用する脆弱性や設定の不備を注意深く監視しています。頻繁に悪用される設定の不備の1つに、インターネット上に露出したDocker REST APIがあります。
2021年10月トレンドマイクロは、Docker REST APIを露出させた不適切な設定状態にあるサーバを標的として、以下のような悪意のあるスクリプトを実行するイメージからコンテナを起動(スピンアップ)させる攻撃活動を観測しました。
「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革の必要性が叫ばれる中、そのシンプルさと柔軟性の高さからマイクロサービスアーキテクチャを採用する企業や組織が増えています。実際、2019年に行われた調査では、大企業のITリーダの89%は「進化し続けるデジタル世界で企業が競争力を維持するためにはマイクロサービスが不可欠」と考えていることが報告されており、今後より多くの開発者がオンプレミスやクラウドサービス内にコンテナを展開することが予想されます。しかしクラウド上のコンテナではセキュリティ管理の不備により重要データが不用意に露出する可能性があり、攻撃者にとって格好の的となる恐れがあります。具体的には露出したRedisインスタンス内に暗号資産採掘ツール(コインマイナー)が展開されたり、Docker Hub上でコミュニティが共有するコンテナイメージを悪用して不正コンテナが展開されたりするなど、設定に不備のあるサービスを狙った攻撃が継続的に確認されています。また別の事例ではコインマイナーが感染したLinuxシステム内に既存する別のコインマイナーを検索して削除し自身の計算能力を最大化させる動きも確認しました。このコインマイナーはDockerやRedisのプラットフォーム内で露出したアプリケーションプログラミングインターフェース(API)を検索していたことから、攻撃者がこれらのプラットフォームに精通していることが示唆されます。
そして今回トレンドマイクロでは、さらに上記とは異なる攻撃手口を確認しました。この攻撃はいわゆる「コンテナエスケープ」の攻撃手法となっており、ルート権限のすべてを備えたホストマシン上のPrivileged(特権)コンテナからホスト側に「脱出」できるよう特別に作成されたペイロードが利用されました。注意すべき点は、Dockerを利用しているからといって、ユーザが使用するコンテナすべてが自動的に特権コンテナとなるわけではないことです。事実、Dockerユーザの多くは特権コンテナを使用していません。これはすなわち、適切なセキュリティを確保する方法を知らずに特権コンテナを使用することはリスクが高いことを示します。
30年前に個人のプロジェクトとして始まったLinuxは、現在では世界中のクラウドプラットフォームやサーバを席巻する主要なオペレーティングシステム(OS)のひとつとなっています。実際に、現在Microsoft独自のクラウドプラットフォームであるAzure上ではLinuxの利用率がWindowsを上回っています。
また、Linuxは環境に依存せず利用できるOSと言えます。Linux Foundationの「2017 State of Linux Kernel Development Report」によると、Linuxはパブリッククラウドのワークロードの90%と、上位10社のパブリッククラウドプロバイダのうち9社で稼働しています。その上、Linuxは世界のスマートフォンの82%で動作し、スーパーコンピュータ市場では99%という巨大な市場シェアを持っていました。
しかしながら、他のソフトウェアと同様に、Linux にもセキュリティの脅威やリスクがないわけではありません。企業がクラウドに移行し、結果的に Linux に移行していく中で、サイバー犯罪者がその焦点とリソースを変えてこれらの環境を標的にして悪用するのは当然のことであると言えるでしょう。
本記事では、Linux の脅威概況について解説し、Linux がいかにして攻撃者にとって魅力的な攻撃対象となっているのか、また、Linux がどのようにして様々な脅威やリスクに晒されるかを調査しました。該当する脅威やリスクには、脆弱性、誤設定、セキュリティギャップ、マルウェアなどが含まれます。本記事では、昨今のLinuxに影響を与えるセキュリティの問題点と脅威の概要を説明した上で、Linux環境を脅威から保護しリスクを軽減するために必要なセキュリティのベストプラクティスを紹介します。
続きを読むトレンドマイクロでは最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバを狙う活動を確認しました。確認されたマルウェアは分散型サービス妨害(DDoS 、Distributed Denial of Service)の実行を目的とした「XORDDoS」(トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出)と「Kaiji」(トレンドマイクロでは「DDoS.Linux.KAIJI.A」として検出)です。 (さらに…)
続きを読む設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産(仮想通貨)を発掘する不正コインマイナーと、分散型サービス拒否(DDoS)攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。
Docker の「Privileged(特権)」コンテナ(以下、特権コンテナ)は、簡潔に言えば、ホストコンピュータに対するすべてのルート権限を備えたコンテナであり、通常のコンテナではアクセスできないリソースへのアクセスが可能となります。特権コンテナの使用例の1つにDockerコンテナ内でDockerデーモンを実行することがあります。もう1つの使用例は、コンテナがハードウェアに直接アクセスする必要がある場合です。前者の例である、コンテナ内でコンテナを操作する「Docker-in-Docker」は、Docker自体の開発の目的で導入されました。今日では、オープンソースの自動化サーバJenkinsでの継続的インテグレーションおよび継続的デリバリー(CI / CD)タスクの自動化など、特権コンテナの実行にはさまざまなユースケースが存在します。ただし、特権コンテナの実行は必ずしも安全ではありません。このブログ記事では、セキュリティ保護が十分でない特権コンテナが、どのように企業や組織のシステムへサイバー犯罪者による侵入を許すことになるかを解説します。
続きを読む企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.DOFLOO.AA」として検出)を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)
