コンテンツにスキップするには Enter キーを押してください

重大なDocker Desktopの脆弱性によりコンテナからの脱出が可能に

投稿日 2025年8月27日

WindowsおよびMac版Docker DesktopのDocker Engine管理APIに認証がないため、攻撃者がコンテナから脱出し、基盤となるホストシステム上で悪意のあるコードを実行できる可能性があります。

WindowsおよびMac版Docker Desktopのユーザーは、コンテナの分離レイヤーを突破し、ホストシステムを乗っ取られる可能性のある重大な脆弱性を修正するため、最新バージョンへのアップグレードが強く推奨されています。この脆弱性は、Dockerコンテナ内で動作するWebアプリケーションに対するサーバーサイドリクエストフォージェリ(SSRF)攻撃を通じてリモートからも悪用される可能性があります。

この脆弱性はCVE-2025-9074として追跡されており、セキュリティ研究者のFelix Bouletによって発見されました。WindowsおよびMac版Docker Desktopに影響しますが、Linux版には影響しません。2024年8月20日にリリースされたDockerバージョン4.44.3で修正されました。

「本質的には、この脆弱性は単純な見落としでした。Dockerの内部HTTP APIが、認証やアクセス制御なしにどのコンテナからでも到達可能だったのです」とBouletはパッチ公開後のブログ記事で述べています。「重大なセキュリティギャップは、最も基本的な前提から生じることが多いという厳しい教訓です。私はDockerのドキュメントに記載されたプライベートネットワークに対して簡単なnmapスキャンを実行することでこの問題を発見しました。」

Docker管理APIに保護がなかった

この脆弱性は、Docker DesktopがDocker Engine APIを公開していることに起因します。このAPIは、Dockerコンテナを制御するために使用され、内部ネットワーク上でコンテナ内からアクセス可能なTCPソケット経由で提供され、認証がありません。

Dockerの専門家ではないBoulet氏は、自身のDocker環境でネットワークスキャンを実行した際に偶然この脆弱性を発見したと述べています。その後、Dockerに詳しいPvotal TechnologiesのPhilippe Dugre氏に連絡し、問題が再現できるか確認を依頼しました。Dugre氏は、初期設定のままのmacOS版Dockerでこの脆弱性を確認しました。

「Docker Engineソケットは、信頼できないコードやユーザーから決してアクセス可能であってはなりません」とDugre氏は自身のブログ記事で述べています。「このソケットはdockerの管理APIであり、アクセスできればdockerアプリケーションができるすべての操作が可能になります。もちろん、コンテナの作成や削除も含まれますが、より悪質な機能としてボリュームのマウントも可能です。」

この脆弱性の結果、攻撃者がDockerコンテナへのアクセスを得た場合、APIを利用して新しいDockerコンテナを作成し、例えば他のコンテナで使用されているデータベースなどのボリュームにアクセスさせることができ、機密情報が漏洩する可能性があります。

さらに深刻なのは、攻撃者がOSのファイルシステムをマウントし、任意のファイルの読み書きが可能になることです。これはさらに重大な影響をもたらします。例えば、他のアプリケーションが読み込むDLLライブラリを上書きすることで、攻撃者がシステム上で悪意のあるコードを実行できるようになります。

ただし、OSファイルシステムのマウントによる管理者権限の取得はWindowsでのみ有効であり、macOSでこれを試みるとユーザーに許可を求めるプロンプトが表示されます。また、macOSではDockerがWindowsのように管理者権限で動作しません。

したがって、macOSにおける影響はそれほど重大ではありませんが、攻撃者は公開されたTCPソケットを介してコンテナの変更や新規作成が可能です。Linuxでは、DockerはEngine APIの管理にTCPを使用せず、コンテナがアクセスできない名前付きパイプを使用しています。そのため、Linux環境はこの脆弱性の影響を受けません。

この脆弱性を悪用するには、脆弱なインストール環境でDockerコンテナへのアクセスを得る必要がありますが、攻撃者はそのようなコンテナ内で動作するWebアプリケーションを介して悪意のあるリクエストをリモートでプロキシすることも可能です。

「エンタープライズ環境でDocker Desktopを使用している場合、これは非常にリスクの高いシナリオです」とExabeamのセキュリティオペレーションストラテジストであるGabrielle Hempel氏はCSOに語っています。「このエクスプロイトは攻撃者にとって非常に実行しやすい(つまり簡単に実行可能)ものであり、公開からパッチ適用までの時間が極めて重要なタイプの問題です。」

Hempel氏はさらに次のように述べています。「結論として、コンテナエンジンはますます『単なる開発ツール』として扱われがちですが、実際には特権的な仮想化レイヤーと同じリスクを持っています。この種の攻撃は、簡単により大規模なサプライチェーン攻撃へと連鎖させることができます。」

ニュースレターを購読する

編集部からあなたの受信箱へ

下記にメールアドレスを入力して開始してください。

翻訳元: https://www.csoonline.com/article/4046353/critical-docker-desktop-flaw-allows-container-escape.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です