DockerコンテナがロシアへのDDoS攻撃に利用されるリスクに注意結果は自明

ロシアやベラルーシのWebサイトにDDoS攻撃を仕掛けるDockerコンテナが、APIを介して広がっている。このコンテナに侵害されるとDDoS攻撃に加担させられる。その結果、何が起こるのか。

2022年06月21日 08時00分 公開
[Sebastian Klovig SkeltonComputer Weekly]

 CrowdStrikeのDocker Engineハニーポットが2022年2月27日〜3月1日に攻撃を受け、Docker Engine APIを介して侵害された。Docker Engine APIは、コンテナエンジンの構成ミスに乗じて感染する「便乗型」攻撃によく利用される。CrowdStrikeは、企業のITインフラも知らない間にサイバー攻撃に加担させられる可能性があると警告している。

 侵害されたハニーポットは、ロシアとベラルーシのWebサイトに対してDDoS(分散型サービス拒否)攻撃を仕掛けた。これらのWebサイトはウクライナIT軍(UIA)がターゲットとして識別・公開したドメインと重複している。

 ターゲットのリストには、ロシアの政府、軍部、メディア、金融、エネルギー、小売り、鉱業、製造、化学、生産、IT、広告、農業、運輸、政党などのWebサイトが含まれている。ベラルーシのメディア、小売り、政府、軍部のWebサイト、リトアニアのメディア業界のWebサイトも挙げられている。

 「親ウクライナ派のDDoS攻撃を支援するためにこのハニーポットを侵害したことはほぼ間違いない」とCrowdStrikeは2022年5月4日のブログ記事に記している。さらにUIAは、ロシアのターゲットに対してDDoS攻撃を仕掛けるようにボランティアメンバーに要請したことがあるとも補足している。

 「利用されただけだとしても、ロシア政府、軍部、民間のWebサイトに攻撃を仕掛けたことに対して、ロシア政府を支援する脅威ファクターから報復攻撃を受ける可能性がある」

 CrowdStrikeのアダム・マイヤーズ氏(インテリジェンス担当シニアバイスプレジデント)は「Container Journal」の取材に答え、ロシアやベラルーシ(または両国の代理として活動するグループ)が反撃し、攻撃に利用されたITインフラを無効化するかもしれないと言う。

 同社のブログによると、Dockerイメージ(通称abagayev/stop-russia)は「Docker Hub」でホストされ、10万回以上ダウンロードされた。「Dockerイメージには、SHA256ハッシュを備えるbombardierというGoベースのHTTPベンチマークテストツールが含まれている。このツールは、HTTPリクエストを使ってWebサイトのストレステストを行う」

 このDockerイメージを基に新しいコンテナが作成され、テストツールを悪用してハードコードされたターゲットリストからランダムに対象を選択するDDoS攻撃が起動される。

 2つ目のDockerイメージ(通称erikmnkl/stoppropaganda)は5万回以上ダウンロードされた。このイメージには、ターゲットのWebサイトにHTTP GETリクエストを送信してWebサイトを過負荷状態にするGoベースのDDoSプログラムが含まれている。

ITmedia マーケティング新着記事

news026.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2024年7月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news136.jpg

「Vポイント」「Ponta」と連携したCTV向けターゲティング広告配信と購買分析 マイクロアドが提供開始
マイクロアドは、VポイントおよびびPontaと連携したCTV向けのターゲティング広告配信を開...

news105.jpg

Netflixの広告付きプランが会員数34%増 成長ドライバーになるための次のステップは?
Netflixはストリーミング戦略を進化させる一方、2022年に広告付きプランを立ち上げた広告...