BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Docker Hub公開イメージ400万の半数に重大な脆弱性が見つかる

Docker Hub公開イメージ400万の半数に重大な脆弱性が見つかる

ブックマーク

原文(投稿日:2020/12/19)へのリンク

サイバーセキュリティ企業のPrevasioが先日、Docker Hubにある400万近いイメージを分析した結果、51パーセント以上のイメージに悪用可能な脆弱性のあることが判明した。多くは暗号通貨のマイニングに関するもので、オープンなものと非公開のものが含まれる。また、6,432のイメージにはマルウェアが発見された。

Prevasioのチームは、イメージの静的解析と動的解析の両方を実施した。静的なスキャンには依存関係解析が含まれており、イメージ中にあるソフトウェアの依存性グラフにある既知の脆弱性についてチェックを行う。加えてチームは、動的なスキャン — 例えば、イメージからコンテナを起動して、実行時の振る舞いを監視する — も実施した。レポートではイメージを、脆弱性を持つグループと、悪意を持つグループとに分類している。その結果、イメージのほぼ51パーセントに悪用の可能性がある重大な脆弱性があり、68パーセントのイメージに何らかの脆弱性が見つかった。分析した6,432のイメージの0.16パーセントには、悪意のあるソフトウェアが含まれていた。全体の約1パーセントであるWindowsイメージと、タグのないイメージは、分析の対象外とされた。

今年(2020年)初め、Aqua Securityのサイバーセキュリティチームは、悪意を持ったイメージを設定の不適切なホスト上で直接ビルドする、新たなテクニックを発表した。他の調査チームも、この"ダイナミックスキャニング(dynamic scanning)" — この研究の一部として実行されている — が、静的な脆弱性解析では発見できない、隠れた脅威の存在を明らかにしたものであることを支持している。Prevasioの分析 — 800台のマシンで1か月間実施された — では、多数の疑わしいイメージからローンチされたコンテナが、マルウェアをダウンロードして実行することが確認されている。調査では、実行時に発見されたマルウェアに対してClamアンチウィルスを、脆弱性スキャナとしてAqua SecurityのTrivyを、それぞれ実行した。

イメージ引用: https://prevasio.com/static/web/viewer.html?file=/static/Red_Kangaroo.pdf (許可取得済)

暗号通貨のマイニングは、公開Dockerイメージを標的とする最近ではごく一般的なエクスプロイトである。このコインマイナ(Coin miners)が、悪意のあるイメージの44パーセントを占めている。悪意あるイメージの6.4パーセントがWindowsのマルウェアを、23パーセントがflatmap-streamマルウェアを、そして20パーセントが何らかの"ハッキングツール"を、それぞれ含んでいる。コインマイナは、オープンなもの(その目的で作られ、そのように宣伝されている)と、隠れたもの(ユーザマシンを悪用するために、イメージ内に密かに隠されている)という2つのカテゴリに分類される。flatmap-streamマルウェアはnpmパッケージのevent-streamに含まれていたもので、これによって2018年には、世界中で数百万の運用ワークロードが汚染されることになった。レポートでは、真の意味で悪意を含むものではない侵入テスト(penetration test)ツールも、"ハッキングツール"に含まれるものと明確化している。これらの存在は企業環境で受け入れられるものではない、という認識がその理由だ。Apache TomcatやJenkinsといった一般的なソフトウェアを含むイメージの一部にもマルウェアが見つかっており、レポートでは、これらのようなプラットフォームツールは公式にメンテナンスされているイメージに限って使用されるべきだ、という認識が強調されている。これについては、2020年2月のRezillonの分析では、最もポピュラーな20のコンテナイメージ(公式メンテナの提供するもの)に含まれていた脆弱性の50パーセントは、重大な脅威をもたらすものではない、と結論付けられている点にも注意する必要がある。

長年にわたるさまざまな調査により、Docker Hubのような公開リポジトリでは、脆弱性の数、範囲ともに増大していることが判明している。2015年の調査では、公式イメージの30パーセント(静的な分析による)に、優先度の高い脆弱性のあることが確認された。2020年初めにacademiaのチームは、2,500のDocker Hubイメージを対象にした調査結果から、"Docker Hubへ新たに導入される脆弱性の数は急速に増加"しており、"いくつかのイメージが非常に脆弱である"と結論付けている。今年初めに公開された別の論文[PDF]では、約220万のDocker Hubイメージをテストした結果として、公式イメージの30パーセント程度に重大なCVE脆弱性が存在することを確認している。コミュニティがメンテナンスするイメージにおける脆弱性の数は、これよりもはるかに多い。

イメージのプッシュとプルが容易なDocker Hubは、開発者の手間を軽減する一方で、マルウェアの拡散も非常に簡単になる。GCPAWSAzureなど多くのクラウドプラットフォームは、イメージの脆弱性検索機能を組み込みで備えている。Docker Hub自体にも、Snykの分析エンジンを使用したスキャンツールがある。この分野のオープンソースツールとしては、Clairgtypeなどがある。調査によって判明した、悪意あるイメージの検索可能なデータベースがhttps://malware.prevasio.com/で公開されている。今回紹介したレポートはPDFとして照会が可能だ。

 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT