DockerコンテナがロシアへのDDoS攻撃に利用されるリスクに注意結果は自明

ロシアやベラルーシのWebサイトにDDoS攻撃を仕掛けるDockerコンテナが、APIを介して広がっている。このコンテナに侵害されるとDDoS攻撃に加担させられる。その結果、何が起こるのか。

2022年06月21日 08時00分 公開
[Sebastian Klovig SkeltonComputer Weekly]

 CrowdStrikeのDocker Engineハニーポットが2022年2月27日〜3月1日に攻撃を受け、Docker Engine APIを介して侵害された。Docker Engine APIは、コンテナエンジンの構成ミスに乗じて感染する「便乗型」攻撃によく利用される。CrowdStrikeは、企業のITインフラも知らない間にサイバー攻撃に加担させられる可能性があると警告している。

 侵害されたハニーポットは、ロシアとベラルーシのWebサイトに対してDDoS(分散型サービス拒否)攻撃を仕掛けた。これらのWebサイトはウクライナIT軍(UIA)がターゲットとして識別・公開したドメインと重複している。

 ターゲットのリストには、ロシアの政府、軍部、メディア、金融、エネルギー、小売り、鉱業、製造、化学、生産、IT、広告、農業、運輸、政党などのWebサイトが含まれている。ベラルーシのメディア、小売り、政府、軍部のWebサイト、リトアニアのメディア業界のWebサイトも挙げられている。

 「親ウクライナ派のDDoS攻撃を支援するためにこのハニーポットを侵害したことはほぼ間違いない」とCrowdStrikeは2022年5月4日のブログ記事に記している。さらにUIAは、ロシアのターゲットに対してDDoS攻撃を仕掛けるようにボランティアメンバーに要請したことがあるとも補足している。

 「利用されただけだとしても、ロシア政府、軍部、民間のWebサイトに攻撃を仕掛けたことに対して、ロシア政府を支援する脅威ファクターから報復攻撃を受ける可能性がある」

 CrowdStrikeのアダム・マイヤーズ氏(インテリジェンス担当シニアバイスプレジデント)は「Container Journal」の取材に答え、ロシアやベラルーシ(または両国の代理として活動するグループ)が反撃し、攻撃に利用されたITインフラを無効化するかもしれないと言う。

 同社のブログによると、Dockerイメージ(通称abagayev/stop-russia)は「Docker Hub」でホストされ、10万回以上ダウンロードされた。「Dockerイメージには、SHA256ハッシュを備えるbombardierというGoベースのHTTPベンチマークテストツールが含まれている。このツールは、HTTPリクエストを使ってWebサイトのストレステストを行う」

 このDockerイメージを基に新しいコンテナが作成され、テストツールを悪用してハードコードされたターゲットリストからランダムに対象を選択するDDoS攻撃が起動される。

 2つ目のDockerイメージ(通称erikmnkl/stoppropaganda)は5万回以上ダウンロードされた。このイメージには、ターゲットのWebサイトにHTTP GETリクエストを送信してWebサイトを過負荷状態にするGoベースのDDoSプログラムが含まれている。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news067.jpg

「単なるスポーツ広告ではない」 Nikeの27年ぶりスーパーボウルCMは何がすごかった?
Nikeが27年ぶりにスーパーボウルCMに復帰し、注目を集めた。

news082.png

Z世代と上の世代で利用率の差が大きいSNSトップ3 1位「TikTok」、2位「Instagram」、3位は?
サイバーエージェント次世代生活研究所が実施した「2024年Z世代SNS利用率調査」の結果が...

news187.jpg

主戦場は「テレビ画面」へ YouTube20周年でCEOが公開書簡
20周年を迎えるYouTubeが、クリエイターとユーザーの双方にとってより魅力的で革新的なプ...