ハッカーグループ、不用心なDocker(ドッカー)環境を求め大規模スキャン 仮想通貨モネロの不正マイニングが目的【ニュース】

あるハッカーグループが、仮想通貨モネロ(XMR)の不正マイニング(クリプトジャッキング)を目的に、すでに5万9000のIPネットワークに対する大規模スキャンを11月24日から行っているという。不正マイニングツールをインストールできるよう、動作中の仮想化ソフトウェア「Docker(ドッカー)」に接続可能なAPIをインターネット上に公開してしまっている企業などを探しているそうだ。IT系ニュースサイトZDNetが11月26日に報じた

記事によると、米サイバーセキュリティ企業バッド・パケットが11月25日に今回の攻撃を最初に発見したという。同社研究責任者共同設立者トロイ・マーシュ氏は、脆弱なDocker環境を標的とする活動は目新しいものではなく、頻繁に発生すると指摘。例えば、サイバーセキュリティ企業Imperva(インパーバ)は2019年3月、APIの脆弱性を介したリモート接続が可能な上、不正なXMRマイニングツールがインストールされていたDocker環境を400以上発見した。

XMRマイニングツール「XMRig」の古いバージョンを利用

またマーシュ氏によると、ハッカーは標的となるサーバーを特定すると、Docker上でゲスト(コンテナー)環境として「アルパイン・リナックス(Alpine Linux)」を起動。さらに、攻撃者側サーバーからXMRマイニングツール「XMRig」の古いバージョンをインストールするスクリプトをダウンロードするという。攻撃者たちは、24日からの2日間ですでに14.82XMR(記事掲載時点)を採掘済みと明かしたそうだ。

マーシュ氏は、動作中のDockerに接続可能なAPIの公開状況を確認し、不要なポートを閉じること、身に覚えのない実行中のコンテナーを終了するよう推奨している。

翻訳・編集 コインテレグラフジャパン