クラウドの Linux が標的になり始めている:コンテナの中身は大丈夫?

Attackers Increasingly Target Linux in the Cloud

2021/08/24 DarkReading — これまで、Linux という OS は、システム管理者やハッカーに好まれてきたが、今ではサイバー犯罪者にとっても重要なターゲットとなっている。Web シェルや暗号通貨マイニングなどのマルウェアが Linux コンテナから実行されることがあり、また、Linux に存在する約200種類の脆弱性も攻撃の対象となっている。Trend Micro が発表したデータによると、コンテナが広く普及している状況が示され、また、人気のコンテナには相当数の脆弱性が存在していることが分かる。

たとえば、Python のオフィシャル・イメージには 482件の脆弱性があり、そのうち 32件は深刻なものだ。その一方で、WordPress のオフィシャル・イメージには 402件の脆弱性があり、そのうち 26件は深刻である。Trend Micro の VP of Cloud Security である Aaron Ansari は、「企業は、コンテナインフラのセキュリティを、どのように確保するのかを自問する必要がある。脆弱性がある場合、どのようにパッチを適用するのか? パッチを適用するまでに時間が必要な企業は、別の手順を踏む必要がある。そのシステムが、重要なシステムであるなら、何らかの方法で安全を確保する必要がある」と述べている。

クラウドや、コンテナ、そして、コードとしてのインフラの普及に後押しされて、Linux の採用が進んでいる。Web 技術調査会社である W3Techs によると、すべての Web サイトにおける 77% 以上が Unix を実行しており、そのうちの大部分 (おそらく大多数) が Linux を実行している。Trend Micro の顧客のうち、コンテナや仮想サーバーをクラウド・インフラに導入している企業おいては、その 61% が Linux を使用し、39% が Windows を使用しているという。

Linux を導入している企業の約4分の3は、Red Hat Enterprise Linux / AWS Linux / Ubuntu / CentOS を使用しているという。Trend Micro のデータによると、侵入防止システム (IPS: intrusion prevention systems) が検知したセキュリティ・イベントの 95% が。これらの OS を対象としている。攻撃や探査の 43% が Amazon Linux であり、29% が Red Hat Enterprise Linux、15% が Ubuntu、8% が CentOS を対象としている。このデータは、10万台の Linux ホストで記録されたイベントから得られている。

Trend Micro のレポートは、「インターネットに公開されているアプリケーションやワークロードの大半は、アプリケーションを実行するものであり、当社のリモート測定においては、Web アプリケーション攻撃が最も一般的な攻撃ベクトルとなっている。Web アプリケーションへの攻撃に成功したハッカーは、任意のスクリプト実行や、機密情報の漏洩、データ修正/抽出/破壊などを行う」と述べている。

一連のデータは、Trend Micro 全製品の検出結果をまとめたデータに、ハニーポット/センサーなどからの、リモート測定による追加データを加えたものだ。同社が記録した不正プログラムに関連するイベントは 1,300万件であり、その中には主として、攻撃者によるダウンロードや、開発/運用チームによる誤ったダウンロードを介して、悪意のコードを取り込んでしまった Linux コンテナが含まれている。その大半を、暗号通貨マイナー (26&) や、Web シェル (20%)、ランサムウェア (12%) などが占めている。

また、5,000万件以上の悪用未遂イベントを分析した結果、40% が Apache Struts を、36% が Netty を標的としていたことが分かった。それらのイベントにおいて悪用された脆弱性は、3年以上前のものが最も多く、企業はコンテナ・インフラの更新に遅れることが多いと Aaron Ansari は述べている。コードとしてのインフラ (Infrastructure as Code) を使用している企業は、同じインフラを何度も何度もコンテナに展開している。つまり、それらの環境は、最新のイメージに基づいていない。

もし、2年前から使用してきた CentOS カーネルを取り込んでいるのなら、それらのイメージをアップデートする必要性がある。残念ながら、SecOps チームは人手不足であることが多く、コンテナ・インフラの更新が遅れている。攻撃者は、セキュリティ負債の返済が滞っていることを利用する。約 20% の攻撃が、OWASP Top-10 の脆弱性を標的としており、全攻撃の 59% をブルートフォース攻撃とディレクトリトラバーサル攻撃という、2つの単純な攻撃手法が占めている。

Aaron Ansari は、「企業は、コンテナを最新の状態に保つために、スタッフ/テクノロジー/プロセスを整備し、ランタイム・コントロールを行う必要がある。私たちの提言を要約すると、3つの大きな問いかけとなる。つまり、イメージの安全性、イメージの信頼性、そして適切なアイデンティティとアクセスの確保である。多くの企業は、オンプレミスと同じ能力を、クラウドで持つことはできないので、それらを認識する必要がある」と述べている。

先日にポストした「Linux System をハックする深刻な脆弱性のリスト Top-15」も、Linux の脅威に関するものであり、同じ Trend Micro レポートを参照しています。あちらは The Hacker News の記事で、こちらは DarkReading の記事ですが、同じレーポートを、それぞれの切り口から紹介してくれています。The Hacker News の記事では、2018年〜2020年における Linux の脆弱性に対して注意が促されていますが、この記事で指摘されるコンテナ運用との関連性は否定できないと思います。

%d bloggers like this: