Docker Hubに仮想通貨を発掘する複数の不正なコンテナイメージが1年近くにわたって公開され、5月にDockerが全て削除したという。アラブ首長国連邦のセキュリティ企業Kromtechの研究者が報告した。
研究者によると、不正なコンテナイメージは「docker123321」というアカウントのユーザーによって、2017年7月ごろにDocker Hubにアップロードされたという。これまでに少なくとも17種類の不正なコンテナイメージが存在し、500万回以上のダウンロードが行われたと見られている。
この間、GitHubやTwitterなどのユーザーが問題を指摘したほか、コンテナ技術を手がけるSysdigやセキュリティ企業のFortinetも注意喚起していたという。Kromtechの研究者は、これらの指摘がなされてからDockerが不正なコンテナイメージを削除するまでに8カ月近くを要したと指摘。「docker123321」を名乗るユーザーは、約9万ドル相当の仮想通貨「Monero」を手にした可能性があるという。
アプリケーションを容易に展開できるコンテナ技術は、開発者を中心に利用されているが、近年では多数のコンテナを統合管理するKubernetesを導入する企業も増えている。
Kromtechは、今回の攻撃から将来的に、攻撃者が適切な運用が行われていないKubernetesを踏み台にして、Docker Hubから不正なコンテナイメージを送り込み、企業のシステムリソースを不正に使用して仮想通貨の“利益”を得ようとする攻撃が増加しかねないと警鐘を鳴らす。企業や開発者に対し、コンテナに関する技術やツールのセキュリティのベストプラクティスがリスクの軽減につながるとアドバイスしている。
仮想通貨を発掘する不正なコンテナイメージが削除されるまでの流れ(出典:Kromtech)
