Dockerを標的とする新種のマルウェアが、クリプトマイニングではなく永続性やバックドアの設置、さらにはライバルのAPIアクセスを遮断することに重点を置いている。
2025年6月に初めて報告されたクリプトマイニングマルウェアの新たな亜種が、従来のDockerエスケープ技術に頼るのではなく、公開されたDocker APIを標的とするよう進化したことが明らかになりました。
AkamaiのHunt Teamのセキュリティ研究者によると、この新種はバックドアの設置や永続性の確保、さらに競合他者のAPIアクセスを遮断することにも重点を置いているとのことです。
「この新種は2025年8月にAkamaiのハニーポットインフラで最後に観測されました」とAkamai Hunt Teamのシニアセキュリティリサーチャー、Yonathan Gilvarg氏はブログ投稿で述べています。「Akamai Huntが発見したこの亜種はクリプトマイナーをドロップするのではなく、以前使われていた他のツールや、元の亜種を超える感染機能を持つファイルをドロップします。」
この亜種は、Trend Microが6月に報告したバリアントを基にしていますが、Gitvarg氏によれば、バイナリペイロードや初期アクセス手法が異なっています。
公開APIを通じた初期アクセス
ここでの主な感染経路は、インターネットに公開された設定ミスのあるDocker API(通常はポート2375)です。攻撃者はこれを利用してコンテナ(多くの場合軽量なLinux「alpine」イメージ)を起動し、ホストのファイルシステムをマウントして、Tor経由で取得したBase64エンコードされたスクリプトを実行します。これらのスクリプトは、第一段階でcurl、tor、マススキャンツールなどをインストールし、第二段階で悪意のあるコンポーネントをダウンロード・実行します。
侵入後、マルウェアはいくつかの永続化および回避策を実行します。これには、悪意のある公開SSH鍵をrootユーザーのauthorized keysに追加すること、cronジョブの設定、ホストディレクトリのマウントによる可視性と制御の維持などが含まれます。
「スクリプト(この亜種で使用されている)の解析から、複数の永続化および防御回避ステップを実行し、今後の公開インスタンスへのアクセスを拒否することが分かりました。これは以前の亜種では見られなかったものです」とGilvarg氏は述べています。
Docker APIが公開アクセスに晒される一般的な原因には、利便性のためにトランスポート層セキュリティ(TLS)なしでDocker APIを実行すること、localhostではなく0.0.0.0にバインドすること、ファイアウォールルールが弱いクラウド環境での運用、Docker APIへの常時アクセスを必要とするサードパーティのオーケストレーションや監視ツールの利用などがあります。
この亜種の独自の工夫
この亜種の特徴は、他者による同じDocker APIへのアクセスを拒否し、攻撃対象面を独占しようとする点です。cronジョブを使ってファイアウォール設定(iptables、nft、firewall-cmdなど)を変更し、ポート2375への着信接続をドロップまたは拒否しようとします。cronジョブとは、Linuxシステムで指定した時刻や間隔で自動的に実行されるタスクです。
「‘crontab’ファイルはホスト自体にあり、攻撃者がコンテナ作成時にマウントしています」とGitvarg氏は付け加えます。「これは以前の亜種にはなかったコードの新しいセクションで、現在VirusTotalでも検出されていません。」さらに、このマルウェアには(まだ完全には有効化されていないものの)他のサービス、例えばTelnet(ポート23)やChromeのリモートデバッグポート(9222)をスキャンし、悪用する可能性のあるロジックも含まれています。これにより、認証情報の窃取、データの持ち出し、リモートブラウザセッションの乗っ取りなどが可能になる恐れがあります。Akamaiは、これらの機能はまだ完全には活用されていないものの、その存在がマルウェアの今後の複雑なボットネット化を示唆していると警告しています。
ニュースレターを購読する
編集部からあなたの受信箱へ
まずは下記にメールアドレスを入力してご登録ください。