検索:
ホーム   »   Docker

サイバー犯罪者集団「TeamTNT」による、侵害したDocker Hubアカウントの悪用方法を解説

  • 投稿日:2022年1月12日
  • 脅威カテゴリ:クラウド, 攻撃手法
  • 執筆:Trend Micro
0

本ブログでは2021年11月30日の記事で、侵害されたDocker Hubアカウントが暗号資産(旧仮想通貨)の採掘活動(マイニング)に悪用されていたほか、これらの活動がサイバー犯罪者グループ「TeamTNT」に関連していたことを明らかにしました。それらのアカウントは現在削除されていますが、トレンドマイクロは、これらの侵害されたアカウントに関連するTeamTNTの活動を追跡調査することができました。

トレンドマイクロは、上記の活動に加えて、同グループが異なる環境内で実施したいくつかの不正な活動を確認しました。そのうちの1つは、Weaveworks社の提供する正規ツール「Weave Scope」を悪用して、展開されたコンテナの監視・制御を行っていたことです。

(さらに…)

続きを読む
Tags: コンテナエスケープDockerTeamTNT

サイバー犯罪者集団「TeamTNT」がDocker hubアカウントを悪用してコインマイナーを拡散する手口を解説

  • 投稿日:2021年11月30日
  • 脅威カテゴリ:クラウド, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは脅威動向調査の一環として、攻撃者が積極的に悪用する脆弱性や設定の不備を注意深く監視しています。頻繁に悪用される設定の不備の1つに、インターネット上に露出したDocker REST APIがあります。

2021年10月トレンドマイクロは、Docker REST APIを露出させた不適切な設定状態にあるサーバを標的として、以下のような悪意のあるスクリプトを実行するイメージからコンテナを起動(スピンアップ)させる攻撃活動を観測しました。

  1. 暗号資産「Monero」を採掘するツール(コインマイナー)をダウンロードまたは同梱する
  2. よく知られた手法を用いてコンテナ経由でホストを侵害する「コンテナエスケープ」攻撃を実行する
  3. 侵害されたコンテナから露出したポートに対するインターネット全体のスキャンを実行する
図1:脆弱なDockerサーバを狙った攻撃フロー
図1:脆弱なDockerサーバを狙った攻撃フロー

(さらに…)

続きを読む
Tags: コインマイナーDDoS攻撃DockerTeamTNT

コンテナ経由でホストを侵害する「コンテナエスケープ」攻撃を実例で解説

  • 投稿日:2021年3月31日
  • 脅威カテゴリ:クラウド, 攻撃手法
  • 執筆:Trend Micro
0

「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革の必要性が叫ばれる中、そのシンプルさと柔軟性の高さからマイクロサービスアーキテクチャを採用する企業や組織が増えています。実際、2019年に行われた調査では、大企業のITリーダの89%は「進化し続けるデジタル世界で企業が競争力を維持するためにはマイクロサービスが不可欠」と考えていることが報告されており、今後より多くの開発者がオンプレミスやクラウドサービス内にコンテナを展開することが予想されます。しかしクラウド上のコンテナではセキュリティ管理の不備により重要データが不用意に露出する可能性があり、攻撃者にとって格好の的となる恐れがあります。具体的には露出したRedisインスタンス内に暗号資産採掘ツール(コインマイナー)が展開されたり、Docker Hub上でコミュニティが共有するコンテナイメージを悪用して不正コンテナが展開されたりするなど、設定に不備のあるサービスを狙った攻撃が継続的に確認されています。また別の事例ではコインマイナーが感染したLinuxシステム内に既存する別のコインマイナーを検索して削除し自身の計算能力を最大化させる動きも確認しました。このコインマイナーはDockerやRedisのプラットフォーム内で露出したアプリケーションプログラミングインターフェース(API)を検索していたことから、攻撃者がこれらのプラットフォームに精通していることが示唆されます。

そして今回トレンドマイクロでは、さらに上記とは異なる攻撃手口を確認しました。この攻撃はいわゆる「コンテナエスケープ」の攻撃手法となっており、ルート権限のすべてを備えたホストマシン上のPrivileged(特権)コンテナからホスト側に「脱出」できるよう特別に作成されたペイロードが利用されました。注意すべき点は、Dockerを利用しているからといって、ユーザが使用するコンテナすべてが自動的に特権コンテナとなるわけではないことです。事実、Dockerユーザの多くは特権コンテナを使用していません。これはすなわち、適切なセキュリティを確保する方法を知らずに特権コンテナを使用することはリスクが高いことを示します。

図1:Dockerの特権コンテナに内在する脆弱性を攻撃する流れ
図1:Dockerの特権コンテナに内在する脆弱性を攻撃する流れ

(さらに…)

続きを読む
Tags: APIマイクロサービスコンテナコンテナエスケープコインマイナーDockerLinuxPoC

Linux環境における脅威を解説、被害に遭わないためには?

  • 投稿日:2021年3月4日
  • 脅威カテゴリ:その他, 脆弱性
  • 執筆:Trend Micro
0

30年前に個人のプロジェクトとして始まったLinuxは、現在では世界中のクラウドプラットフォームやサーバを席巻する主要なオペレーティングシステム(OS)のひとつとなっています。実際に、現在Microsoft独自のクラウドプラットフォームであるAzure上ではLinuxの利用率がWindowsを上回っています。

また、Linuxは環境に依存せず利用できるOSと言えます。Linux Foundationの「2017 State of Linux Kernel Development Report」によると、Linuxはパブリッククラウドのワークロードの90%と、上位10社のパブリッククラウドプロバイダのうち9社で稼働しています。その上、Linuxは世界のスマートフォンの82%で動作し、スーパーコンピュータ市場では99%という巨大な市場シェアを持っていました。

しかしながら、他のソフトウェアと同様に、Linux にもセキュリティの脅威やリスクがないわけではありません。企業がクラウドに移行し、結果的に Linux に移行していく中で、サイバー犯罪者がその焦点とリソースを変えてこれらの環境を標的にして悪用するのは当然のことであると言えるでしょう。

本記事では、Linux の脅威概況について解説し、Linux がいかにして攻撃者にとって魅力的な攻撃対象となっているのか、また、Linux がどのようにして様々な脅威やリスクに晒されるかを調査しました。該当する脅威やリスクには、脆弱性、誤設定、セキュリティギャップ、マルウェアなどが含まれます。本記事では、昨今のLinuxに影響を与えるセキュリティの問題点と脅威の概要を説明した上で、Linux環境を脅威から保護しリスクを軽減するために必要なセキュリティのベストプラクティスを紹介します。

(さらに…)

続きを読む
Tags: ランサムウェアクラウドコンテナCVE-2017-5638CVE-2020-11651CVE-2020-11652DockerLinux

「露出したDockerサーバ」を狙い、不正マイニングとDDoSの踏み台に悪用する攻撃が続発

  • 投稿日:2020年11月2日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

攻撃者は、実行中のDockerコンテナ環境を狙い続けています。トレンドマイクロは最近、「Alpine Linux」をベースイメージとして使用して構築されたDockerコンテナで、不正な暗号資産発掘ツールと分散型サービス拒否(DDoS)ボットネットの両方を作成する攻撃を確認しました。トレンドマイクロでも2020年5月に同様の攻撃を調査しましたが、その際にも攻撃者は不正なAlpine Linuxコンテナを作成して、不正な暗号資産発掘ツールとDDoSボットをホストしていました。以下の図は、この攻撃における感染の流れを表しています。

図1:感染の流れ-1024x820
図1:感染の流れ

(さらに…)

続きを読む
Tags: ボットネットCVE-2017-5638CVE-2019-3396DDoS攻撃DockerIRC

2種のLinuxボットで露出したDockerサーバを狙う活動を確認:「XORDDoS」と「Kaiji」

  • 投稿日:2020年8月20日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

トレンドマイクロでは最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバを狙う活動を確認しました。確認されたマルウェアは分散型サービス妨害(DDoS 、Distributed Denial of Service)の実行を目的とした「XORDDoS」(トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出)と「Kaiji」(トレンドマイクロでは「DDoS.Linux.KAIJI.A」として検出)です。 (さらに…)

続きを読む
Tags: Docker

セキュリティニュースまとめ:露出したDockerサーバを狙うボットネット「XORDDoS」および「Kaiji」の亜種、何百万ものIoT機器に影響を与えるRipple20の脆弱性、など

  • 投稿日:2020年8月17日
  • 脅威カテゴリ:対策技術, 不正プログラム, サイバー攻撃, 脆弱性, 速報
  • 執筆:Trend Micro
0

本記事では、最近確認されたサイバーセキュリティのニュースやイベントについて、お客様が知っておくべきことを紹介します。このまとめでは、露出したDockerサーバを狙う既存のLinuxボットネットマルウェアの2つの亜種に関するニュースを始めとして、さまざまな業界の何百万ものモノのインターネット(internet of things、IoT)機器に深刻な影響を与える可能性のある「Ripple20」という脆弱性群についても言及します。 (さらに…)

続きを読む
Tags: DockerIoT機器Ripple20

Docker デーモンのオープンポートを狙うマルウェア、目的はボット感染とマイニング

  • 投稿日:2020年7月16日
  • 脅威カテゴリ:不正プログラム, ボットウイルス
  • 執筆:Trend Micro
0

設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産(仮想通貨)を発掘する不正コインマイナーと、分散型サービス拒否(DDoS)攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。

図1:シェルスクリプト「mxutzh.sh」

(さらに…)

続きを読む
Tags: マイニングDocker

Dockerコンテナを特権モードで実行することが危険な理由

  • 投稿日:2020年1月21日
  • 脅威カテゴリ:対策技術
  • 執筆:Trend Micro
0

Docker の「Privileged(特権)」コンテナ(以下、特権コンテナ)は、簡潔に言えば、ホストコンピュータに対するすべてのルート権限を備えたコンテナであり、通常のコンテナではアクセスできないリソースへのアクセスが可能となります。特権コンテナの使用例の1つにDockerコンテナ内でDockerデーモンを実行することがあります。もう1つの使用例は、コンテナがハードウェアに直接アクセスする必要がある場合です。前者の例である、コンテナ内でコンテナを操作する「Docker-in-Docker」は、Docker自体の開発の目的で導入されました。今日では、オープンソースの自動化サーバJenkinsでの継続的インテグレーションおよび継続的デリバリー(CI / CD)タスクの自動化など、特権コンテナの実行にはさまざまなユースケースが存在します。ただし、特権コンテナの実行は必ずしも安全ではありません。このブログ記事では、セキュリティ保護が十分でない特権コンテナが、どのように企業や組織のシステムへサイバー犯罪者による侵入を許すことになるかを解説します。

(さらに…)

続きを読む
Tags: 特権モードDocker

露出したDocker APIを介してコンテナに侵入するボット型マルウェア「AESDDoS」について解説

  • 投稿日:2019年7月9日
  • 脅威カテゴリ:サイバー犯罪, 攻撃手法
  • 執筆:Trend Micro
0

企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.DOFLOO.AA」として検出)を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)

続きを読む
Tags: AESDDoSAPIDDoS攻撃Docker
Page 1 of 212


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.