コンテナ・イメージに流れ込む証明書と秘密鍵:SSH や VPN を守るために理解すべきことは?

Hackers Exploit Stolen Certificates and Private Keys to Breach Organizations

2025/04/22 gbhackers — コンテナ化されたアプリケーション領域において、盗み出した証明書と秘密鍵を悪用する脅威アクターが、組織に侵入するという懸念すべき脆弱性が、最近の調査により明らかになった。この戦術は、ハッカーに対して、セキュリティ対策の回避を許すだけではなく、長期間にわたって検知されない可能性もあるため、企業のセキュリティに重大なリスクをもたらすとされる。

侵害された証明書のステルス性

API トークンやパスワードなどの一般的な秘密情報とは異なり、証明書と秘密鍵は独自の属性を持っているため、侵害されると極めて危険な状態に陥る。周知のとおり、SSL/TLS 証明書や SSH キーは、単なる秘密情報としてだけではなく、正当なエンティティとしてシステムやユーザーを認証するための ID として機能する。

How threat actors could gain access to the registry

これらのキーが攻撃者の手に渡ると、サーバやユーザーへの成りすましが達成されるため、提示された正当な資格情報により、想定外の悪意のリソースへの接続や、信頼できるエンティティだと誤認するシナリオにつながる。

この影響は甚大である。API トークンとパスワードは、比較的容易にローテーションできるが、証明書と秘密鍵は正式な信頼チェーン内に埋め込まれているため、失効と再発行には複雑なプロセスが必要となる。

この特性により、攻撃者は、正当な通信に悪意のトラフィックを混在させ、侵害の確率を高め、ステルス的な攻撃を可能にする。

実例と影響

ある調査対象における事例では、コンテナイ・メージに OpenVPN 証明書および秘密鍵と、SSH 秘密鍵の両方が含まれていることが判明ししている。

Content of the private key present inside the container image

安全な VPN トンネルを確立するために、広く使用される OpenVPN は、暗号化された接続を確保するために、これらの証明書と秘密鍵に大きく依存している。

したがって、これらのシークレットが漏洩すると、さまざまな攻撃の機会を脅威アクターは手にする。具体的には、不正な VPN サーバの設置/組織のプライベート・ネットワークへの不正アクセス/トラフィックの盗聴/データの窃取に加えて、サプライチェーン攻撃を仕掛けることも可能となる。

それと同様に、セキュアなリモート・サーバ管理プロトコルである SSH も、鍵が侵害されると脅威アクターの侵入口となる。SSH の秘密鍵にアクセスした攻撃者は、パスワード認証を必要とせずにサーバやシステムにログインできるため、複数の環境にまたがる不正アクセス/データ漏洩/サーバ侵害の可能性が生じる。

根本的な問題は、シークレット・イメージを保存する倉庫として機能する、コンテナ・レジストリの脆弱性にある。これらのレジストリが、適切に保護されていないケースや、そこから認証情報が漏洩するケースは、攻撃者にとって情報の宝庫となる。

この Trend Micro の調査で特定されたのは、197 のレジストリにまたがる 20,500 を超えるイメージと、9.36 TB を超えるデータである。その中には、秘密鍵や証明書などの機密ファイルを、意図せずに取り込んでいるイメージもあったという。

ユーザー組織は、厳格な対策を講じることで、これらのリスクを軽減する必要がある:

  • ビルド環境と本番環境の分離:開発環境やテスト環境にシークレットを保存しないでほしい。実行時に認証情報を挿入する場合は、環境変数または安全なボールトを使用すべきである。
  • シークレット・スキャンの実装:コンテナ・イメージがレジストリに到達する前に、または、CI/CD パイプラインの実行中に、それらのツールを活用することで機密ファイルをスキャンすべきだ。
  • 堅牢なコード・レビュー:Dockerfile とコンフィグ・ファイルを定期的にレビューし、機密データが誤って取り込まれていないことを確認する。

侵害された証明書と秘密鍵のステルス性が浮き彫りにするのは、コンテナ化された環境の管理における、より高い警戒の必要性である。

公開されたプライベート・レジストリに関する長期的な調査は、これらの侵害の蓋然性と深刻さを明示し、デジタル ID の保護方法における、組織的かつ抜本的な見直しを迫っている。

シークレット・イメージを保存する倉庫として機能する、コンテナ・レジストリの脆弱性が問題となり、ビルド環境から本番環境へと流れ込んでしまうシークレットの悪用の可能性が、Trend Micro のレポートにより指摘されています。それにより、SSH や VPN が悪用されると、きわめて深刻な状況へと陥ってしまうので、ご注意ください。よろしければ、カテゴリ Container も、ご参照ください。