Wizによるハッカーグループの確認
セキュリティ会社Wizは、JINX-0132というコードネームを持つハッカーグループがDevOpsツールの脆弱性を悪用し、大規模な暗号通貨マイニング攻撃を行っていることを確認しました。
攻撃の対象と手法
攻撃対象となっているツールには、HashiCorpのNomadやConsul、Docker API、さらにはGiteaが含まれており、約25%のクラウド環境がリスクにさらされています。
攻撃手法としては、Nomadのデフォルト設定を利用してXMRigマイニングソフトウェアを展開したり、承認されていないConsul APIアクセスを通じて悪意のあるスクリプトを実行することが挙げられます。また、露出しているDocker APIを制御してマイニングコンテナを作成することも行われています。
Wizのデータによれば、DevOpsツールの5%は直接インターネットに公開されており、さらに30%は構成上の欠陥を抱えているとのことです。
セキュリティ対策の推奨
セキュリティチームは、ユーザーに対し、ソフトウェアを速やかに更新し、不必要な機能を無効化し、APIアクセス権限を制限することを推奨しています。
この攻撃は、クラウド環境の構成管理の重要性を改めて認識させるものです。HashiCorpの公式ドキュメントからの警告にもかかわらず、多くのユーザーが基本的なセキュリティ機能を有効にしていない実情があります。専門家は、シンプルな構成調整だけでほとんどの自動攻撃を防ぐことが可能であると強調しています。
