あるハッカーグループが、仮想通貨モネロ(XMR)の不正マイニング(クリプトジャッキング)を目的に、すでに5万9000のIPネットワークに対する大規模スキャンを11月24日から行っているという。不正マイニングツールをインストールできるよう、動作中の仮想化ソフトウェア「Docker(ドッカー)」に接続可能なAPIをインターネット上に公開してしまっている企業などを探しているそうだ。IT系ニュースサイトZDNetが11月26日に報じた。
記事によると、米サイバーセキュリティ企業バッド・パケットが11月25日に今回の攻撃を最初に発見したという。同社研究責任者共同設立者トロイ・マーシュ氏は、脆弱なDocker環境を標的とする活動は目新しいものではなく、頻繁に発生すると指摘。例えば、サイバーセキュリティ企業Imperva(インパーバ)は2019年3月、APIの脆弱性を介したリモート接続が可能な上、不正なXMRマイニングツールがインストールされていたDocker環境を400以上発見した。
Large uptick in Docker targeted scanning activity started around midnight UTC on 2019-11-24.
— Bad Packets Report (@bad_packets) November 25, 2019
Payload script https://t.co/q047bRPUyj has zero detections on VirusTotal (https://t.co/AtCT4qp6qt) despite clear malicious activity.
Archived copy here: https://t.co/pwpVhn4MM9 pic.twitter.com/nDOfO2bKD5
XMRマイニングツール「XMRig」の古いバージョンを利用
またマーシュ氏によると、ハッカーは標的となるサーバーを特定すると、Docker上でゲスト(コンテナー)環境として「アルパイン・リナックス(Alpine Linux)」を起動。さらに、攻撃者側サーバーからXMRマイニングツール「XMRig」の古いバージョンをインストールするスクリプトをダウンロードするという。攻撃者たちは、24日からの2日間ですでに14.82XMR(記事掲載時点)を採掘済みと明かしたそうだ。
マーシュ氏は、動作中のDockerに接続可能なAPIの公開状況を確認し、不要なポートを閉じること、身に覚えのない実行中のコンテナーを終了するよう推奨している。
翻訳・編集 コインテレグラフジャパン