2024年度クラウドネイティブセキュリティおよび利用状況レポート
悪意のあるDockerコンテナは、公開されたDocker APIや脆弱なホストを悪用する新しい攻撃手法です。
この記事では、SysdigのDockerハニーポットで捕獲された、VirusTotalで未検出のマルウェアを含むDockerイメージのトリアージプロセスを紹介しています。
悪質なアクターは、公開されたDocker APIを利用してマルウェア、特にクリプトマイナーを実行するリソースをプロビジョニングすることが多いです。
トリアージプロセスでは、イメージの分析、侵害指標の発見、攻撃者の行動の特定が含まれます。
分析ツールとしては、Binwalkを使用して静的解析を行い、Sysdig OSSで動的分析を実施します。
この特定のイメージはMoneroマイニングに関連しており、その防止策としては、Docker APIのエンドポイントを公開しないこと、既知または署名済みのコンテナのみを実行するゼロトラストアーキテクチャの採用が推奨されます。
この記事から学んだ教訓をもとに、セキュリティリサーチャーやDevOpsエンジニアは防御策を改善する必要があります。
