DockerコンテナがロシアへのDDoS攻撃に利用されるリスクに注意：結果は自明

ロシアやベラルーシのWebサイトにDDoS攻撃を仕掛けるDockerコンテナが、APIを介して広がっている。このコンテナに侵害されるとDDoS攻撃に加担させられる。その結果、何が起こるのか。

[Sebastian Klovig Skelton，Computer Weekly]

　CrowdStrikeのDocker Engineハニーポットが2022年2月27日～3月1日に攻撃を受け、Docker Engine APIを介して侵害された。Docker Engine APIは、コンテナエンジンの構成ミスに乗じて感染する「便乗型」攻撃によく利用される。CrowdStrikeは、企業のITインフラも知らない間にサイバー攻撃に加担させられる可能性があると警告している。

　侵害されたハニーポットは、ロシアとベラルーシのWebサイトに対してDDoS（分散型サービス拒否）攻撃を仕掛けた。これらのWebサイトはウクライナIT軍（UIA）がターゲットとして識別・公開したドメインと重複している。

　ターゲットのリストには、ロシアの政府、軍部、メディア、金融、エネルギー、小売り、鉱業、製造、化学、生産、IT、広告、農業、運輸、政党などのWebサイトが含まれている。ベラルーシのメディア、小売り、政府、軍部のWebサイト、リトアニアのメディア業界のWebサイトも挙げられている。

　「親ウクライナ派のDDoS攻撃を支援するためにこのハニーポットを侵害したことはほぼ間違いない」とCrowdStrikeは2022年5月4日のブログ記事に記している。さらにUIAは、ロシアのターゲットに対してDDoS攻撃を仕掛けるようにボランティアメンバーに要請したことがあるとも補足している。

　「利用されただけだとしても、ロシア政府、軍部、民間のWebサイトに攻撃を仕掛けたことに対して、ロシア政府を支援する脅威ファクターから報復攻撃を受ける可能性がある」

　CrowdStrikeのアダム・マイヤーズ氏（インテリジェンス担当シニアバイスプレジデント）は「Container Journal」の取材に答え、ロシアやベラルーシ（または両国の代理として活動するグループ）が反撃し、攻撃に利用されたITインフラを無効化するかもしれないと言う。

　同社のブログによると、Dockerイメージ（通称abagayev/stop-russia）は「Docker Hub」でホストされ、10万回以上ダウンロードされた。「Dockerイメージには、SHA256ハッシュを備えるbombardierというGoベースのHTTPベンチマークテストツールが含まれている。このツールは、HTTPリクエストを使ってWebサイトのストレステストを行う」

　このDockerイメージを基に新しいコンテナが作成され、テストツールを悪用してハードコードされたターゲットリストからランダムに対象を選択するDDoS攻撃が起動される。

　2つ目のDockerイメージ（通称erikmnkl/stoppropaganda）は5万回以上ダウンロードされた。このイメージには、ターゲットのWebサイトにHTTP GETリクエストを送信してWebサイトを過負荷状態にするGoベースのDDoSプログラムが含まれている。