インターネット上の大規模なプラットフォーム(GitHub、YouTube、GCP、AWS、Azure、Redditなど)と同様に、その機能とコラボレーション環境で知られるDocker Hubは、大規模なマルウェアやスパムキャンペーンの標的になる可能性があります。 本日、 JFrogのセキュリティ研究者 は、リポジトリの説明/メタデータに悪意のあるリンクが埋め込まれたイメージのないDocker Hub上の何百万ものスパムリポジトリを特定したと発表しました。 誤解のないように言っておくと、JFrogによって悪意のあるコンテナイメージは発見されていません。 むしろ、これらはDocker HubのWebインターフェイスに埋もれているページであり、ユーザーが発見してクリックしないと危険にさらされません。 このレポートを提供してくれたパートナーのJFrogに感謝し、Dockerは報告されたすべてのリポジトリを削除しました。Dockerには [email protected] メールボックスもあり、セキュリティチームによって監視されています。 検証が完了すると、すべての悪意のあるリポジトリが削除されます。
JFrogのレポートでは、偽のURL短縮サービスやGoogleのオープンリダイレクトの脆弱性を利用して悪意を隠すなど、悪質な業者が採用する手法を取り上げています。 これらの攻撃は簡単に検出できるものではなく、例えば、多くはマルウェアではなく単純なリンクであり、 人間以外は検出できない か、セキュリティツールによって悪意があるとフラグが立てられます。
JFrogはDocker Hub上で何百万もの「イメージレス」リポジトリを特定しました。 これらのリポジトリは、実際のDockerイメージがなく、マルウェアやフィッシング攻撃を配布するためのフロントとして機能しているにすぎません。 約 3 万のリポジトリには実質的なコンテンツは含まれておらず、ユーザーを有害なWebサイトに誘導することを目的とした誤解を招くドキュメントのみが含まれていることが判明しました。 ハブの維持には、多くの面で莫大な投資がかかっています。
これらのリポジトリはトラフィックの多いリポジトリではないため、Hub内では強調表示されません。 以下のリポジトリは、JFRogのブログで取り上げられている例です。 リポジトリにイメージがないため、プルは行われません。
画像は、対応するタグとともに下に表示されます。 これらのリポジトリは空です。
結論
Dockerはセキュリティに取り組んでおり、昨年は多額の投資を行い、お客様へのコミットメントを示しています。 最近、SOC 2 Type 2 監査とISO 27001 認証審査を完了し、認証を待っています。 SOC 2 と ISO 27001 はどちらも、お客様の信頼と製品の保護に対する Docker のコミットメントを示しています。
すべてのDockerユーザーには、信頼できるコンテンツを使用することをお勧めします。 Docker Hubユーザーは、警戒を怠らず、使用前にリポジトリの信頼性を確認し、疑わしいアクティビティを報告する必要があります。 Dockerの製品またはサービスのいずれかにセキュリティの脆弱性を発見した場合は、責任を持って [email protected]に報告することをお勧めします。 詳細については 、脆弱性開示ポリシー をお読みください。
DockerはJFrogのようなセキュリティの専門家やコミュニティと協力して、Docker Hubが世界中の開発者にとって安全で堅牢なプラットフォームであり続けることを約束します。
フィードバック
「DockerとJFrogが提携してDocker Hubをさらに保護し、悪意のあるリンクを含む何百万ものイメージレスリポジトリを削除する」に関する0の考え