本ブログは「Aqua Security」社の技術ブログで2020年12月29日に公開された「 Aqua’s Top Five Threat Alerts for 2020 」の日本語翻訳です。

2020年 Aqua 脅威アラート Top5

---

2020年は怒涛の1年でした。生活様式が進化したように、セキュリティの脅威も常に進化しています。そこで、Aqua のサイバーセキュリティ研究グループ Team Nautilus によるブログの中で、クラウドネイティブセキュリティの専門家の間で最も注目を集めたものをいくつか紹介します。これらのブログでは、コンテナイメージの悪用、ファイルレス型のマルウェア、Kinsing マルウェア、洗練された回避テクニックなどを取り上げ、攻撃者が時間の経過とともに創造性を増していく様子を紹介しています。

クラウドネイティブのサプライチェーンとインフラストラクチャを標的とした攻撃が増加しています。これらの攻撃がますます巧妙化し、組織化されていることから、セキュリティ対策に動的脅威分析と CSPM を追加することの重要性が強調されています。これらの攻撃は、2021年にはさらに激化すると予想されます。

以下、Aqua のトップ5の脅威アラート記事を紹介します。

脅威：攻撃者が悪意あるイメージをホスト上に直接ビルド

コンテナ環境に対する新しいタイプの攻撃を発見しました。攻撃者はホスト上に悪意のあるコンテナイメージをビルドして実行するために、間違って設定された Docker API ポートを悪用します。攻撃者がパブリックレジストリから悪意あるイメージを pull してくるのではなく、ホスト上で悪意あるイメージをビルドする攻撃が確認されたのは、私たちの知る限りではこれが初めてです。

脅威：コンテナイメージを狙った攻撃手法の徹底解剖

TeamTNT は、クリプトマイニングとワームを組み合わせて、Docker Hub から AWS の資格情報を盗みだしていました。動的分析によりこれらのイメージがデプロイ前に検出され、Docker Hub などのレジストリから削除された場合は、セキュリティチームの多くの時間と疲弊を軽減できると考えられます。

脅威：コンテナ環境を対象としたマルウェア「Kinsing」が増加中

誤って構成されたオープン状態の Docker API ポートを対象とする組織的な攻撃活動が増加しています。この永続的な攻撃活動は数か月間続いており、1日あたり数千回の攻撃がほぼ毎日行われています。これは、今までに見た中で最も高い数値であり、これまでに目撃した数をはるかに超えています。恐らくこれらの攻撃は、継続的に実行および維持するために、必要十分なリソースとインフラを備えた攻撃者によって行われています。

脅威：Kubernetesクラスタを攻撃するために作成された初のコンテナイメージ

Kubernetes クラスタの脆弱性を発見して悪用することを可能にするコンテナイメージを初めて発見しました。攻撃者は、開発者を騙して悪意のあるイメージをダウンロードさせるために、Docker Hub に作成した紛らわしいアカウントを利用してこのマルウェアを伝播させます。私たちの知る限りでは、サイバー攻撃者がこの手法を用いて Kubernetes クラスタの脆弱性に標的を絞ってクラウドネイティブスタックを悪用している初めてのケースです。

脅威：コンテナ内で実行されるファイルレスマルウェア

コンテナ内のメモリから直接マルウェアを実行する新しいタイプの攻撃を検出しました。これは一般的な防御や静的スキャンを回避します。このマルウェアは rootkit を使用して実行中のプロセスを隠蔽し、メモリからクリプトマイナーを実行することでリソースをハイジャックしています。これは、攻撃者がより多くのダメージを与えることができるバックドアを残すことを意味します。

上記含むその他の脅威分析レポートは、Team Nautilus の調査ページに掲載されています。

まとめ

---

新年では、より多くの有益な情報をお届けしていきます。脅威アラートだけでなく、クラウドネイティブセキュリティに関するあらゆることを取り上げていきます。