最近、グローバルなセキュリティ企業であるカスペルスキー(Kaspersky)は、外部に公開された Docker API ポートを悪用した暗号通貨マイニングのマルウェアを発見しました。今回の攻撃は、単なるマイニングを超えて感染拡散機能を備えた高度な構造を有し、クラウドインフラ全体を脅かす可能性がある点で注目を集めています。本記事では、Docker APIポートの公開がもたらすセキュリティ脅威と、これに対処するための戦略を、Criminal IPに基づく検出事例と共に紹介します。
Docker API ポートの公開
Dockerは、DevOps環境でコンテナベースのサービスを実現する重要なプラットフォームです。しかし、Dockerデーモンがデフォルトで使用する2375番ポートは、TLSが無効化された状態で開かれる場合、認証なしに外部からアクセス可能という致命的なセキュリティ脆弱性を抱えています。このポートを通じて攻撃者はコンテナを生成したりコマンドを実行したりすることができ、これは深刻なセキュリティ脅威につながります。
今回発見された攻撃は、外部に公開されたDocker APIを悪用して悪意のあるコンテナを生成し、感染した環境に2つの主要なマルウェアを注入する手法で実施されます。
- cloud:マイニング機能を行う悪意のあるバイナリ
- nginx:感染した環境内で自己拡散機能を行う
特にこの攻撃は、伝統的なC2(Command and Control)サーバーを必要とせず、感染したコンテナが直接インターネットをスキャンし、他のコンテナに感染を広げます。これにより、検出と阻止が困難になり、クラウドベースのインフラ全体に深刻な脅威となります。
Criminal IPによる公開されたDockerポート2375の検出
公開されたデータによると、毎月平均485件のDocker APIポートがインターネットに公開されています。この数値は実際の攻撃対象全体を反映しているとは限りません。多くのシステムでは、自動化された設定展開中にポートを誤って開いたままにしたり、テスト環境が運用環境に移行される際に管理されていない状態で放置されるケースがあるためです。
組織の攻撃対象領域を事前に検出するため、Threat Intelligence(脅威インテリジェンス)ベースのツールを活用することは、効果的な予防措置となる可能性があります。Criminal IPのようなCTIプラットフォームを活用すれば、以下のクエリを通じて外部に公開されたDocker APIポートを特定できます。
Docker API ポートが公開された資産の検出クエリ
Criminal IPの検索クエリ:port:2375
Criminal IPの検索結果によると、世界中で104,149件のポート2375が外部に公開されており、そのうち一部は認証なしでアクセス可能であり、Dockerコンテナの情報まで確認できる深刻なセキュリティの脆弱性を示していました。右側の統計グラフによると、アメリカ、中国、韓国、ドイツ、日本など、多様な国のインフラが公開されている状態であることがわかります。
当該サーバーは、Criminal IPを通じて検出した実際の公開資産です。また、Microsoft IIS 8.5を基盤とするWindows環境でポート2375を開いており、Docker REST APIに対してHTTP 200応答を返しています。
つまり、認証なしで外部からDockerコマンドを実行できる状態であり、以下の攻撃が可能です。
- コンテナ一覧の確認
- 悪意のあるコンテナの生成と実行
- システム内のラテラルムーブメントの実行
- 暗号通貨マイニングバイナリの挿入
攻撃者は該当のポートにアクセスした後、悪意のあるコンテナを作成し、その内部に「cloud」「nginx」などのマイニング用バイナリを挿入します。感染したコンテナは自らインターネットをスキャンし、他のコンテナ環境を探し出して感染させる自己拡散型の構造を持つようになります。このプロセスは既存のセキュリティシステムをバイパスし、伝統的なC2なしでも拡散します。
Docker API ポートの公開防止
Docker APIポートの2375は、利便性のため開発およびテスト環境で開放されることが多くありますが、外部に公開されると深刻なセキュリティ脅威につながる可能性があります。以下の予防措置を講じることで、セキュリティリスクを事前に防止する必要があります。
- 外部アクセスの遮断:ファイアウォールやクラウドセキュリティグループを通じて外部からポート2375へのアクセスを制限する。
- TLS認証と暗号化の適用:Docker API通信の暗号化のため、TLS証明書を適用し、サーバーとクライアント間の相互認証を要求するようにする。
- 自動化された点検とCTIツールの活用:ポートの公開状況を定期的に点検し、異常な兆候を早期に検出するために、Criminal IPのようなCTIプラットフォームを活用する。
- 不要なポートの無効化:開発またはテスト環境で使用した設定が運用環境にそのまま反映されないように注意する。不要なAPI機能やポートは無効化し、最小権限の原則を適用する。
FAQ(よくある質問)
Q1. ポート2375が開いている場合、どのようなリスクが発生しますか?
ポート2375は、DockerデーモンがREST API通信に使用するデフォルトのポートです。認証なしで外部に公開されると、誰でもAPIを呼び出してコンテナをコントロールできるようになります。これは単なる設定ミスを超え、深刻なセキュリティ侵害につながる可能性があります。主な脅威は以下の通りです。
- 無断コンテナの実行:認証なしに外部からコンテナを生成・削除・操作できる
- 悪意のあるイメージの挿入:攻撃者が暗号通貨マイニング機能を含む悪意のあるコンテナを配布できる
- 内部情報の漏洩:Docker APIの応答を通じて、コンテナ一覧、イメージ情報、APIバージョンなどが外部に漏洩する可能性がある
- 自己拡散型感染の拡大:感染したコンテナがネットワークをスキャンし、他のコンテナ環境にマルウェアを拡散させることができる
- リソースの枯渇とシステムの不安定:無差別なリクエストにより、CPUやメモリなどのリソースが枯渇し、サービスが中断される可能性がある
Q2. Docker APIポート2375の公開を防ぐにはどうすればよいですか?
Docker APIポートの2375は、基本的に認証なしで外部からアクセスできるように設定されているため、クラウド環境では必ず別途のセキュリティ設定が必要です。まず、外部ネットワークから当該ポートへのアクセスを阻止するため、ファイアウォールやセキュリティグループの設定を適用する必要があります。DockerデーモンにはTLS証明書を適用し、暗号化された通信を強制し、認証されていないリクエストをブロックすることが望ましいです。また、Dockerソケットへのアクセス権限を最小化し、運用に必要のないAPI機能を無効化して攻撃対象領域を縮小する必要があります。何よりも継続的な監視が重要であるため、Criminal IPのようなCTIツールを活用してポートの公開状態を定期的にチェックし、異常な兆候が発見された場合は即座に対応できる体制を整える必要があります。
結論
Docker APIはクラウド環境における自動化を支える重要な技術である一方で、ポート2375のような設定ミスは認証なしの外部アクセスを許可し、全体的なインフラのセキュリティ脆弱性につながる可能性があります。最近では、これを悪用した暗号通貨マイニング型マルウェアが実際に拡散されており、感染したコンテナが自らマルウェアを拡散させるなど、脅威はさらに高度化しています。単純なポートブロックやファイアウォール設定だけでは限界があるため、CTIとASMベースの攻撃対象領域検出ツールを活用し、外部への公開状況を継続的に監視し、異常な兆候を早期に検出する多層防御戦略が不可欠です。
関連してSAP NetWeaverの脆弱性 「CVE-2025-31324」:サーバーハイジャック・リモートコード実行の危険性をご参照ください。
データ提供:Criminal IP(https://www.criminalip.io/ja)、Kaspersky(https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-dero-crypto-miner-spreading-via-exposed-container-environments)
ご参照: