トレンドマイクロ、2種のLinuxボットで露出したDockerサーバーを狙う活動を確認
- 2020/08/26 10:00
- SecurityInsight
トレンドマイクロは8月20日、最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバーを狙う活動を確認したことをセキュリティブログで発表した。確認されたマルウェアは分散型サービス妨害(DDoS)の実行を目的とした「XORDDoS」と「Kaiji」の2種類。その概要は以下のとおり。
Dockerサーバーを攻撃の対象に定めるのは、XORDDoSとKaijiの両方において新しく見られた動き。XORDDoSはクラウドシステム上のLinuxホストを狙うことで知られている。最近確認されたKaijiはIoT機器に影響を与えることが最初の調査で判明している。攻撃者は通常、オープンなセキュアシェル(SSH)およびTelnetポートをスキャンした後、ボット型マルウェアを使用してブルートフォース攻撃を実行する。
現在、攻撃者は露出したポート2375を持つDockerサーバーを検索していたことが分かっている。ポート2375はDocker APIが使用する2つのポートのうちの一つで、暗号化されていない未認証の通信において使用される。
同じポート2375を狙う2つのマルウェアだが、その攻撃手法には顕著な違いが見られた。XORDDoSはDockerサーバーに侵入してホストされているすべてのコンテナに感染を試みるが、KaijiはDDoS攻撃を行なうマルウェアを格納する独自のコンテナをDockerサーバーに展開する。
Dockerサーバーの安全性を高めるため、以下のベストプラクティスを講じることが推奨される。
・コンテナホストの保護:監視ツールを活用し、コンテナ中心のOSでコンテナをホストする
・ネットワーク環境の保護:侵入防止システム(IPS)およびWebフィルタリングを使用して、可視性を提供し、内部および外部の通信を監視する
・管理スタックの保護:コンテナレジストリを監視および保護し、Kubernetesのインストールを隔離する
・ビルドパイプラインの保護:徹底的で一貫したアクセス制御機能を実装し、強力なエンドポイント制御をインストールする
・推奨されるベストプラクティスに従う
・セキュリティツールを利用して、コンテナをスキャンおよび保護する