Palo Alto Networksのセキュリティチーム「Unit42」は3月26日(米国時間)、「20 Million Miners: Finding Malicious Cryptojacking Images in Docker Hub」において、クリプトジャック攻撃を狙った悪意あるコンテナイメージがコンテナレジストリを通じて配布されているとして注意喚起を行った。

クリプトジャック攻撃は、他人のコンピューティングリソースを不正に利用して暗号通貨(仮想通貨)のマイニングを行って利益を上げる犯罪手法。最近、犯罪者がクリプトマイナー(マイニングを行うマルウェア)をターゲットのPCに仕込む方法として、コンテナイメージを使うケースが増えているという。

  • 20 Million Miners: Finding Malicious Cryptojacking Images in Docker Hub20 Million Miners: Finding Malicious Cryptojacking Images in Docker Hub

    20 Million Miners: Finding Malicious Cryptojacking Images in Docker Hub20 Million Miners: Finding Malicious Cryptojacking Images in Docker Hub

Unit42の研究者がDockerイメージのレジストリであるDocker Hubを調査したところ、10個の異なるDocker Hubアカウントによる30個の悪意あるイメージが見つかり、合計で2000万回のプルが行われていることが判明したという。これらのイメージを利用して行われたクリプトジャックによるマイニング総額は日本円で2185万円相当と見積もられている。

マイニングの対象となっている暗号通貨は90%以上がMoneroで、次いでGrin、Arionumが挙げられている。使用されるクリプトマイナーの分布は、90%がXMRigで、残り10%がXmr-stackとなっている。XMRigはサイバー攻撃者に人気のあるマルウェアでもある。

コンテナイメージの特徴としては、CPUアーキテクチャやオペレーティングシステムごとに異なるタグが付けられていることがわかったという。これは、多数のOSやCPUアーキテクチャを幅広くターゲットにするためではないかと推測されている。

今回の調査で使用した暗号化スキャナは単純な暗号化ペイロードしか検出できないため、より検出が難しい複雑なペイロードがあることを考えると、コンテナイメージを利用したクリプトジャック攻撃はもっと大規模に行われている可能性が高いという。コンテナレジストリを利用した環境構築は便利ではあるが、マルウェア検出をはじめとするセキュリティ対策を併用することが推奨される。