マイニング・マルウェアの標的は2018年からコンテナにも拡大
CoinMiner攻撃キャンペーン、DockerやKubernetes経由でクラウドへ
今やマルウェアの新たなスタンダードになった感のある暗号通貨マイニングですが、その標的はPCやサーバ、スマートフォンに加えて、仮想コンテナに向かっています。
その中には、定番のパスワード攻撃(総当たりや辞書攻撃など)もありますが、中にはKubernetesに対して認証なしにコマンドを送信するというタイプの攻撃も見られるそうです。
もちろん、本来は認証なしにコマンドが通ることはないはずです。しかし、Kubeletがインターネットに露出している場合(Kubeletに含まれるノードへのアクセスが許可されている場合)、そのAPIが認証なしで動くバックドアになってしまうようです。
セキュリティ研究者たちも、とりあえず数十の危険なノードを発見していますが、おそらくは氷山の一角であり、他にも危険なノードが存在すると考えられます。悪意ある者は密かに攻撃を行っているはずですので、Kubernetesで管理をしている人は、ぜひともKubeletがネットに露出していないか、もししていれば、マイニングを含めたマルウェアの侵入がないか、確認した方がよさそうです。