Researchers Claim High-Risk Vulnerabilities Found in 87% of All Container Images
2023/02/01 InfoSecurity — コンテナ・イメージの圧倒的多数である 87% において、深刻な脆弱性が存在していること、また、90% において、コンテナに関連するパーミッションが使用されていないことが判明した。この指摘は、クラウド/コンテナ統合セキュリティ企業である Sysdig の最新レポートによるものであり、InfoSecurity と共有されたものだ。また、この新しいデータによると、修正プログラムが提供されている深刻な脆弱性のうち、ランタイムにロードされるパッケージに含まれるものは、わずか 15% に過ぎないことが示されている。したがって、使用時に脆弱なパッケージをフィルタリングすることで、本質的なリスクを示す脆弱性が、より少ないものに対して集中していける。
さらに、この調査資料によると、59% のコンテナにおいて、CPU の制限が定義されていない。また、要求された CPU リソースの 69% が未使用であるため、企業にとって過大な出費が伴うケースが多いとも指摘されている。さらに、全コンテナの 72% が平均して5分未満で稼働しており、昨年と比較して 28% 減少していることを、Sysdig は明らかにしている。
Sysdig の Director of Cybersecurity Strategy である Michael Isbitski は、「昨年の状況を示すレポートを振り返ると、コンテナのライフスパンが短縮しており、その利用形態が成熟し続けていることが示唆される。しかし、ミスコンフィグレーションや脆弱性が原因となる、サプライチェーン・セキュリティ問題が顕在化したことで、クラウド環境は継続して困難な状況にる」と述べている。
Isbitski は、「実際のところ、このような問題により、組織におけるトラブル・シューティング情報の収集が妨げられ、情報を保持するためのセキュリティ・ソリューションの必要性が強まっている。ユーザーとサービスに関する権限管理も、ぜひとも強化してほしい点だ」と付け加えている。
このレポートは、Sysdig の顧客が使用している 700万以上のコンテナを分析したものである。同社によると、GitHub/Docker Hub/Cloud Native Computing Foundation (CNCF) などの、パブリックなデータソースからも情報を抽出したという。
このレポートで利用されている匿名化されたデータは、幅広い業界を横断するかたちで、中規模から大規模の企業においてデプロイメントされたコンテナに基づいている。それらの顧客データは、北米/南米/欧州/英国/日本/オーストラリアの各地域で分析された。
Isbitski は、「今年のレポートは、大きな成長を示している。また、2024年のレポート作成までに、チームとして採用したいベストプラクティスの概要も示している。たとえば、実際のリスクを理解するための、使用中の露出度の調査などが挙げられる。また、本質的な影響力を持つ、脆弱性の修復のための優先順位付けなどもある」と結論付けている。
先日には、CrowdStrike のセキュリティ研究者が、脆弱な Docker と Kubernetes のインフラを標的とした、クリプト・ジャッキング・キャンペーンを発見している。それから数カ月後に、この Sysdig のレポートは発表されている。
コンテナに取り込まれる脆弱性に関する、Sysdig の 2023 Cloud-Native Security and Usage Report をベースにした記事です。このリンク先の、右上のボタンから、ダウンロードページへと移動できます。このレポートは、30ページもある大作ですが、コンテナに関する様々なデータをインフォグラフで示してくれるので、とても分かりやすいです。なお、2022年後半からの、コンテナに関連する記事は、以下のとおりです。
2022/11/24:Docker Hub に潜む悪意のコンテナ
2022/10/27:Docker/Kubernetes を狙う Kiss-a-dog
2022/09/14:Docker:TeamTNT が仕掛けた不正イメージ
2023/01/09:Kinsing による Kubernetes 攻撃
2022/12/24:Kubernetes と Kyverno:深刻な脆弱性が FIX
2022/11/21:Kubernetes に関連するソフトウェア:55% が OSS
IoT OT Security News 
You must be logged in to post a comment.