コンテナオーケストレーションへの急速なシフトにより、Kubernetesはエンタープライズクラウド環境を侵害しようとするサイバー犯罪者の主要なターゲットとなりました。
過去1年間、Kubernetesサービスアカウントトークンの盗難に関連した脅威活動は警戒すべき282%の急増を記録し、IT部門がこれらの標的型攻撃の78%を受けました。
複雑なコンテナエスケープ方法のみに依存するのではなく、現代のハッカーはKubernetesのアイデンティティを盗むために露出したアプリケーションと設定上の欠陥を利用しています。
これらの盗まれたアイデンティティにより、単一の侵害されたコンテナから組織のクラウドインフラストラクチャの中核へシームレスにピボットできます。
最近の2つのセキュリティインシデントは、これらの攻撃がどのくらい迅速にエスカレートできるかを示しています。2025年半ばに、Slow Pisces(Lazarusとしても追跡されている)として知られる北朝鮮の国家支援を受けた脅威グループが大手仮想通貨取引所に侵入しました。
この年の初めに歴史的な15億ドルのデジタル窃盗の責任者であったこのグループは、フィッシング攻撃を通じて開発者のワークステーションを侵害しました。その後、ハッカーは悪意のあるポッドを企業の本番Kubernetesクラスタに展開しました。
この計算された動きにより、彼らは非常に高い権限を持つサービスアカウントトークンを抽出することができました。
この過度に許容的なトークンを使用して、攻撃者は通常の周辺セキュリティをバイパスし、より広いクラウドプラットフォームに横方向に移動し、機密バックエンド金融システムにアクセスして数百万ドルの資金を盗みました。
これらのインシデントは危険で繰り返される攻撃パターンを浮き彫りにしています。ハッカーは公開されている脆弱性を利用してコンテナへのアクセスを取得し、ローカルKubernetesアイデンティティを盗み、そのアイデンティティを使用してクラウド全体でより広い管理者アクセスを取得します。
このプロセスを迅速化するために、攻撃者はPeiratesなどの自動化されたエクスプロイト後ツールに頻繁に依存しており、これらはクラスタ権限を迅速にマップし、価値のあるクラウドシークレットを探すために特別に設計されています。
これらの壊滅的なセキュリティ障害のほとんどは、過度に特権化されたアイデンティティと不十分に構成された環境に起因しています。これらの脅威から保護するために、セキュリティチームはKubernetesクラスタ管理を根本的に強化する必要があります。
まず、組織は厳密なロールベースアクセス制御(RBAC)を実施し、セキュアなポッド標準を実装する必要があります。
ポッドが機能するために必要な絶対的な最小権限のみを保持することを保証することで、防御者は侵害を正常に封じ込め、攻撃者が小さなエクスプロイトをフルクラスタテイクオーバーにまとめるのを防ぐことができます。
最後に、深いランタイムモニタリングと包括的な監査ログが不可欠です。セキュリティチームがすべてのエクスプロイトを防ぐことはできませんが、コンテナの動作を監視することで、ワークロードが突然ハッキングスクリプトをダウンロードしたり、制限されたファイルへのアクセスを試みたりするなどの異常を検出できます。
高度な検出ツールとログを活用することで、組織はこれらの悪意のあるパターンを特定し、攻撃者が重大なクラウドインフラストラクチャを危険にさらす前に阻止できます。
翻訳元: https://cyberpress.org/kubernetes-flaws-expose-clouds/