JFrogは4月30日(米国時間)、「Nearly 20% of Docker Hub Repositories Spread Malware & Phishing Scams」において、コンテナイメージ共有サービスの「Docker Hub」を悪用する3つのサイバー攻撃のキャンペーンを発見したと伝えた。Docker Hubにホストされる1,500万件を超えるリポジトリーのうち、約20%にあたる約280万件のリポジトリーが悪意のあるコンテンツをホストしていたという。
Docker Hubの悪用
Docker Hubはコンテナイメージをホストおよび配布するクラウドベースのレジストリーサービス。リポジトリとしての機能を持ち、コンテナイメージ、テキストの説明、メタデータ、コミュニティ機能を提供する。リポジトリの所有者はコンテナイメージの説明のためにドキュメントをHTML形式で記述し、リポジトリのメインページに表示することができる。
脅威アクターはこのDocker Hubにコンテナイメージのないリポジトリを作成し、フィッシングサイトに誘導するメインページを構築したとみられる。JFrogはコンテナイメージのない異常なリポジトリの登録日を調査し、定期的かつ機械的に作成されたリポジトリの他に、大規模に作成されたリポジトリを検出している。
Docker Hubリポジトリ悪用の概要
JFrogの調査によると、Docker Hubから公開されているコンテナイメージのないリポジトリは約460万件存在し、そのうち約280万件が大規模な悪意のあるキャンペーンに関連していたという。悪意のあるキャンペーンは主に3つに分類できるとされる。その概要は次のとおり。
1.ダウンローダー
「ダウンローダー」キャンペーンではゲームの海賊版コンテンツや不正行為を提案する自動生成されたテキストをメインページに表示する。メインページに表示されるリンクにアクセスすると悪意のあるWebサイトに誘導され、海賊版コンテンツに偽装したマルウェアをダウンロードさせようとする。このキャンペーンは2021年と2023年に実施され、両方とも同じマルウェア(トロイの木馬)を配布したとされる。
2.電子書籍フィッシング
「電子書籍フィッシング」キャンペーンでは海賊版電子書籍を提案する自動生成されたテキストをメインページに表示する。メインページには海賊版電子書籍のダウンロードリンクが表示され、アクセスすると「http://rd[.]lesac[.]ru/」にリダイレクトされる。このフィッシングサイトは無料で電子書籍を提供すると約束しつつ、ユーザーにクレジットカード情報を入力させ、カード情報を窃取するとされる。
3.WebサイトSEO
「WebサイトSEO」キャンペーンは基本的に無害とされる。メインページには短い意味のない単語や意味のないリンクが存在する。これらの特徴からこのキャンペーンは悪意のあるキャンペーンの実施前に、ストレステストとして使用されたと推測されている。
対策
JFrogは今回の調査で発見した悪意のあるコンテンツまたは、望ましくないコンテンツをホストしている疑いのあるリポジトリをDockerチームに通報している。Dockerチームは通報を受けて速やかにそれらリポジトリーをすべて削除したとされる。
JFrogはこのような攻撃を回避するため、Docker Hubのユーザーに対し「信頼できるコンテンツ」としてマークされているDockerイメージの利用を推奨している。信頼できるコンテンツとして評価されたリポジトリのメインページには3種類の信頼区分のいずれかが表示されるため、これが表示されていないリポジトリには注意する必要があると指摘している。