Docker Hub に潜む悪意のコンテナ:暗号通貨マイナーやバックドア など 1,650件を発見

Docker Hub repositories hide over 1,650 malicious containers

2022/11/24 BleepingComputer — Docker Hub で一般公開されている 1,600 以上のイメージに、暗号通貨マイナーやバックドアとして使用可能な、埋め込みシークレット/DNS ハイジャッカー/Web サイトリダイレクトなどの、悪質なビヘイビアが潜んでいることが判明した。Docker Hub は、Docker イメージの自由なサーチ/ダウンロードや、公開ライブラリ/個人用リポジトリへの成果物のアップロードを可能にする、クラウドベースのコンテナ・ライブラリだ。

Docker イメージは、すぐに使えるコードやアプリケーションを取り込んだコンテナを、素早く簡単に作成するテンプレートだ。そのため、新しいインスタンスをセットアップしようとするユーザーが、簡単にデプロイできるアプリケーションを素早く見つけるために、Docker Hub を利用することも多いようだ。


しかし、残念なことに、このサービスを悪用する脅威アクターたちが、1,000 件を超える悪意のアップロードを行い、マルウェアを含むイメージを展開したことで、それらをダウンロードする無防備なユーザーが、自身のローカル/クラウドのコンテナに感染させるという、深刻なリスクをもたらしている。

不正なイメージの多くには、ユーザーを騙してダウンロードさせるために、人気のプロジェクトとよく似た名前が使用されている。

Sysdig の研究者たちは、問題の規模を評価するための調査の中で、何らかの形で悪意のコードや仕組みを特徴とするイメージを発見したことを報告した。

Docker Hub のトラップ

Docker Hub 上には、Docker Library Project によりレビューされ、信頼できることが確認されたイメージとは別に、ステータス不明の数十万ものイメージが存在している。Sysdig は、自動スキャナで 250,000 件の未検証の Linux イメージを精査し、そのうちの 1,652件を悪意のイメージとして検出した。

Types of malicious images
Docker Hub にある悪意のイメージの種類 (Sysdig)

最も多かったのは、608 件のコンテナ・イメージから検出された、クリプトマイナーのカテゴリーである。暗号通貨マイニングに悪用するための、サーバリソースを狙うものである。

2番目に多かったのは、機密情報を埋め込んだイメージであり、281件が発見された。これらのイメージには、SSHキー/AWS 認証情報/GitHub トークン/NPM トークンなどが埋め込まれていた。

Types of secrets left in Docker images
Docker イメージに埋め込まれた機密情報の種類 (Sysdig)

これらの機密情報は、誤って公開イメージに残された可能性もあれば、作成/アップロードした脅威アクターが意図的に注入した可能性もあると、Sysdig はコメントしている。

同社はレポートで、「SSH キーや API キーをコンテナに埋め込むことで、その後に攻撃者は、デプロイされたコンテナにアクセスが可能になる。たとえば、パブリック・キーをリモートサーバーにアップロードすると、対応するシークレット・キーの所有者は、SSH 経由でシェルを開いてコマンドを実行できるようになり、バックドアを埋め込みと同じような攻撃が可能になる」と警告している。

Sysdig が発見した多くの悪意のイメージは、タイポスクワッティングを利用して、正当で信頼できるイメージになりすまし、ユーザーにクリプトマイナーを感染させるだけのものだった。この手法は、以下の2つの例のように、約 17,000 回ダウンロードされるなど、大成功を収めるケースの土台となる。

Docker images containing coinminers
コインマイナーを含む Docker イメージ (Sysdig)

また、タイポスクワットでは、人気のプロジェクト名の入力を間違えたユーザーが、悪意のイメージをダウンロードすることになるため、大規模な感染は発生しなくても、安定した攻撃数を確保できる。

Typosquatted images capturing random mistypes
ランダムなミスタイプを捕捉するタイポスクワット画像 (Sysdig)

深刻化する問題

Sysdig によると、2022年に Docker Hub からダウンロードされた、イメージの 61%がパブリック・リポジトリからのものであり、2021年と比べて 15% 増加している。したがって、ユーザーにとってのリスクは、増加傾向にあると言える。

残念ながら、Docker Hub のパブリック・ライブラリの規模を考えると、すべてのアップロードを毎日のように、運営者が精査することは不可能であり、多くの悪意のイメージが報告されない状態となっている。

また Sysdig は、大半の脅威アクターがアップロードする悪意のイメージは少量であるため、危険なイメージが削除され、アップロード者がブロックされたとしても、プラットフォームの脅威状況に大きな変化は生じないとも述べている。

Docker Hub の汚染に関する記事です。同様の問題が、GitHub や PyPI などでも起きていますが、 その傾向が、さらに強まってきているようです。文中にもあるように、こうした悪意のイメージを検出して削除するという作業は、膨大なリソースと時間を伴うものになります。よろしければ、Repository で検索を、ご利用ください。

%d bloggers like this: