Docker Hubのリポジトリ280万件以上がフィッシング攻撃に悪用、注意を

画像提供：マイナビニュース

JFrogは4月30日(米国時間)、「Nearly 20% of Docker Hub Repositories Spread Malware & Phishing Scams」において、コンテナイメージ共有サービスの「Docker Hub」を悪用する3つのサイバー攻撃のキャンペーンを発見したと伝えた。Docker Hubにホストされる1,500万件を超えるリポジトリーのうち、約20%にあたる約280万件のリポジトリーが悪意のあるコンテンツをホストしていたという。

○Docker Hubの悪用

Docker Hubはコンテナイメージをホストおよび配布するクラウドベースのレジストリーサービス。リポジトリとしての機能を持ち、コンテナイメージ、テキストの説明、メタデータ、コミュニティ機能を提供する。リポジトリの所有者はコンテナイメージの説明のためにドキュメントをHTML形式で記述し、リポジトリのメインページに表示することができる。

脅威アクターはこのDocker Hubにコンテナイメージのないリポジトリを作成し、フィッシングサイトに誘導するメインページを構築したとみられる。JFrogはコンテナイメージのない異常なリポジトリの登録日を調査し、定期的かつ機械的に作成されたリポジトリの他に、大規模に作成されたリポジトリを検出している。

○Docker Hubリポジトリ悪用の概要

JFrogの調査によると、Docker Hubから公開されているコンテナイメージのないリポジトリは約460万件存在し、そのうち約280万件が大規模な悪意のあるキャンペーンに関連していたという。悪意のあるキャンペーンは主に3つに分類できるとされる。その概要は次のとおり。
○1.ダウンローダー

「ダウンローダー」キャンペーンではゲームの海賊版コンテンツや不正行為を提案する自動生成されたテキストをメインページに表示する。メインページに表示されるリンクにアクセスすると悪意のあるWebサイトに誘導され、海賊版コンテンツに偽装したマルウェアをダウンロードさせようとする。このキャンペーンは2021年と2023年に実施され、両方とも同じマルウェア(トロイの木馬)を配布したとされる。

○2.電子書籍フィッシング

「電子書籍フィッシング」キャンペーンでは海賊版電子書籍を提案する自動生成されたテキストをメインページに表示する。メインページには海賊版電子書籍のダウンロードリンクが表示され、アクセスすると「http://rd[.]lesac[.]ru/」にリダイレクトされる。このフィッシングサイトは無料で電子書籍を提供すると約束しつつ、ユーザーにクレジットカード情報を入力させ、カード情報を窃取するとされる。
○3.WebサイトSEO