【ITニュース解説】Hackers hide behind Tor in exposed Docker API breaches

2025年09月10日に「BleepingComputer」が公開したITニュース「Hackers hide behind Tor in exposed Docker API breaches」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 2025年09月10日更新日: 2025年12月25日

ITニュース概要

インターネットに公開されたDocker APIを狙う攻撃が発生。攻撃者は匿名化通信Torで身元を隠し、不正に乗っ取ったサーバー群で大規模なサイバー攻撃網（ボットネット）を構築する恐れがあるため、APIの適切な管理が求められる。

出典: Hackers hide behind Tor in exposed Docker API breaches | BleepingComputer公開日: 2025年09月10日

ITニュース解説

近年、アプリケーションの開発や運用の現場で広く利用されている「Docker」という技術を標的とした、新たなサイバー攻撃が確認された。この攻撃は、設定が不適切なDockerサーバーに侵入し、最終的には大規模なサイバー攻撃の踏み台となりうる「ボットネット」を構築する可能性を秘めており、システム管理者やエンジニアにとって重大な脅威となっている。

まず、この攻撃の背景にあるDockerと、その操作に使われるAPIについて理解する必要がある。Dockerは、「コンテナ」と呼ばれる隔離された仮想環境の中にアプリケーションをパッケージ化し、どんな環境でも同じように動作させることを可能にするプラットフォームである。これにより、開発から本番環境への移行がスムーズになり、多くの企業で導入が進んでいる。このDockerを外部から操作するために用意されているのが「Docker API」という仕組みだ。APIとは、プログラム同士が命令をやり取りするための接続口のようなもので、Docker APIを使えば、コマンドを通じてコンテナの作成、起動、停止などを遠隔から実行できる。

問題となるのは、このDocker APIが、本来保護されるべきであるにもかかわらず、セキュリティ設定の不備によりインターネット上に公開されてしまっているケースである。これは、家のドアに鍵をかけず、誰でも入れるようにしている状態と同じで、攻撃者にとっては格好の標的となる。今回の攻撃者は、インターネット全体をスキャンして、このような無防備なDocker APIを探し出し、不正にアクセスを試みる。

攻撃者は、無防備なDocker APIを見つけると、それを利用して「Alpine Linux」という非常に軽量なオペレーティングシステムをベースにしたコンテナを勝手に作成し、被害者のサーバー上で起動させる。そして、そのコンテナ内部で、攻撃者のサーバーから悪意のあるプログラム（マルウェア）をダウンロードさせ、実行に移す。このマルウェアの主な目的は「クリプトジャッキング」である。これは、被害者のコンピュータの計算能力（CPUパワー）を無断で借用し、Monero（モネロ）などの暗号通貨を採掘（マイニング）して、その利益を攻撃者が得るという行為だ。被害者は、サーバーの動作が極端に遅くなるなどの症状が出るまで、リソースを盗まれていることに気づきにくい。さらに、このマルウェアは、侵入したサーバー上に存在する他の攻撃者が仕掛けた競合するマイニング用マルウェアを検知して停止させる機能も持っており、計算リソースを独占しようとする巧妙さも持ち合わせている。

また、攻撃者は自身の正体を隠すために「Tor」という匿名化ネットワークを利用している。マルウェアは、攻撃者が指示を出すサーバー（C2サーバー）と通信する必要があるが、その通信をTor経由で行うことで、通信経路を複雑化し、C2サーバーの本当の所在地や攻撃者の身元を特定することを極めて困難にしている。

そして、この攻撃の最も危険な点は、最近のアップデートでマルウェアに新たな機能が追加されたことだ。それは、侵入したシステムのSSH設定ファイルに、攻撃者の公開鍵を勝手に追加するという機能である。SSHとは、ネットワーク経由で他のコンピュータに安全にログインし、遠隔操作するための仕組みだ。攻撃者が自身の公開鍵を設置するということは、いわば家の合鍵を勝手に作られてしまうのと同じであり、これによって攻撃者はコンテナという限られた環境から抜け出し、サーバー本体（ホストシステム）に対して、いつでも自由に、そして正規のユーザーと同じようにログインできるようになってしまう。

このSSHによる侵入経路の確保は、単なるクリプトジャッキングにとどまらない、より深刻な脅威への発展を示唆している。攻撃者は、こうして乗っ取った多数のサーバーを遠隔から自由に操れる「ゾンビ軍団」として束ね、「ボットネット」と呼ばれる巨大な攻撃ネットワークを構築する可能性があるからだ。一度ボットネットが形成されると、特定のウェブサイトやサービスに一斉に大量のアクセスを送りつけて機能不全に陥らせるDDoS攻撃の踏み台にされたり、さらなるマルウェアの拡散拠点やスパムメールの大量送信元として悪用されたりする危険性がある。つまり、今回の攻撃は、将来的に大規模なサイバー攻撃を行うための基盤作りの一環である可能性が考えられる。

システムエンジニアを目指す者にとって、この事例は重要な教訓を含んでいる。便利なツールを導入する際には、その仕組みを正しく理解し、セキュリティ設定を徹底することが不可欠である。特に、Docker APIのような強力な管理インターフェースを、不用意に外部へ公開することは絶対に避けなければならない。システムの構築や運用においては、「デフォルト設定のまま使わない」「不要なポートは閉じる」といったセキュリティの基本原則を常に遵守する必要がある。具体的な対策としては、ファイアウォールを設定してDocker APIが使用するポート（通常は2375番）への外部からのアクセスを遮断することが第一である。もし遠隔操作が必要な場合でも、通信を暗号化するTLS認証を設定するなど、厳重なセキュリティ対策を講じた上で、アクセス元を信頼できるIPアドレスのみに限定することが強く推奨される。このような地道なセキュリティ対策の積み重ねが、システムを深刻な脅威から守るための鍵となる。