2022年06月21日 08時00分 公開
特集/連載

DockerコンテナがロシアへのDDoS攻撃に利用されるリスクに注意結果は自明

ロシアやベラルーシのWebサイトにDDoS攻撃を仕掛けるDockerコンテナが、APIを介して広がっている。このコンテナに侵害されるとDDoS攻撃に加担させられる。その結果、何が起こるのか。

[Sebastian Klovig Skelton,Computer Weekly]

 CrowdStrikeのDocker Engineハニーポットが2022年2月27日〜3月1日に攻撃を受け、Docker Engine APIを介して侵害された。Docker Engine APIは、コンテナエンジンの構成ミスに乗じて感染する「便乗型」攻撃によく利用される。CrowdStrikeは、企業のITインフラも知らない間にサイバー攻撃に加担させられる可能性があると警告している。

 侵害されたハニーポットは、ロシアとベラルーシのWebサイトに対してDDoS(分散型サービス拒否)攻撃を仕掛けた。これらのWebサイトはウクライナIT軍(UIA)がターゲットとして識別・公開したドメインと重複している。

 ターゲットのリストには、ロシアの政府、軍部、メディア、金融、エネルギー、小売り、鉱業、製造、化学、生産、IT、広告、農業、運輸、政党などのWebサイトが含まれている。ベラルーシのメディア、小売り、政府、軍部のWebサイト、リトアニアのメディア業界のWebサイトも挙げられている。

 「親ウクライナ派のDDoS攻撃を支援するためにこのハニーポットを侵害したことはほぼ間違いない」とCrowdStrikeは2022年5月4日のブログ記事に記している。さらにUIAは、ロシアのターゲットに対してDDoS攻撃を仕掛けるようにボランティアメンバーに要請したことがあるとも補足している。

 「利用されただけだとしても、ロシア政府、軍部、民間のWebサイトに攻撃を仕掛けたことに対して、ロシア政府を支援する脅威ファクターから報復攻撃を受ける可能性がある」

 CrowdStrikeのアダム・マイヤーズ氏(インテリジェンス担当シニアバイスプレジデント)は「Container Journal」の取材に答え、ロシアやベラルーシ(または両国の代理として活動するグループ)が反撃し、攻撃に利用されたITインフラを無効化するかもしれないと言う。

 同社のブログによると、Dockerイメージ(通称abagayev/stop-russia)は「Docker Hub」でホストされ、10万回以上ダウンロードされた。「Dockerイメージには、SHA256ハッシュを備えるbombardierというGoベースのHTTPベンチマークテストツールが含まれている。このツールは、HTTPリクエストを使ってWebサイトのストレステストを行う」

 このDockerイメージを基に新しいコンテナが作成され、テストツールを悪用してハードコードされたターゲットリストからランダムに対象を選択するDDoS攻撃が起動される。

 2つ目のDockerイメージ(通称erikmnkl/stoppropaganda)は5万回以上ダウンロードされた。このイメージには、ターゲットのWebサイトにHTTP GETリクエストを送信してWebサイトを過負荷状態にするGoベースのDDoSプログラムが含まれている。

ITmedia マーケティング新着記事

news194.jpg

残念なブランド体験で8割の顧客は「もう買わない」――Sitecore調査
消費者にとって不都合な事象が発生した際にも、ブランドを好きでいられるのは10人に1人。

news131.jpg

ナイキとアディダスに学ぶ ファンを増やす企業文化とは?
スポーツにおけるトップブランドの座を巡ってし烈な競争を繰り広げてきたナイキとアディ...

news046.jpg

DXにおける「コンサルティング力」とは?
DXが加速する中でコンサルティング人材へのニーズが高まっています。DXにおける「コンサ...