![「Log4j」の脆弱性2件に対応 ~「Docker Desktop」コンテナーのセキュリティスキャンが強化/「docker scan」で毎月10回の無償スキャンが可能](https://cdn-ak-scissors.b.st-hatena.com/image/square/646b1878f91e5bd0b99d0cffbdc3a0d4cc6fc9a9/height=288;version=1;width=512/https%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F1376%2F275%2Fimage_top.jpg)
2020/08/26 10:00 SecurityInsight トレンドマイクロは8月20日、最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバーを狙う活動を確認したことをセキュリティブログで発表した。確認されたマルウェアは分散型サービス妨害(DDoS)の実行を目的とした「XORDDoS」と「Kaiji」の2種類。その概要は以下のとおり。 Dockerサーバーを攻撃の対象に定めるのは、XORDDoSとKaijiの両方において新しく見られた動き。XORDDoSはクラウドシステム上のLinuxホストを狙うことで知られている。最近確認されたKaijiはIoT機器に影響を与えることが最初の調査で判明している。攻撃者は通常、オープンなセキュアシェル(SSH)およびTelnetポートをスキャンした後、ボット型マルウェアを使用してブルートフォース攻撃を実行する。 現在、攻
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます トレンドマイクロは、Dockerコンテナーをホストするサーバーに侵入し分散型サービス妨害(DDoS)攻撃の実行を試みる2種類のマルウェア「XORDDoS」「Kaiji」の分析結果についてブログで報告した。 同社によると、XORDDoSはクラウド環境上のLinuxホストを標的にする。一方、Kaijiは最近に発見され、IoT機器を標的にするという。これらのマルウェアは、SSHもしくはTelnetのポートスキャンを行い、ターゲットのホストが見つかれば、ボット型マルウェアを使ってブルートフォース(総当り)攻撃を実行する。ポートスキャンで対象にするポートの1つが、Docker APIで暗号化されていない未認証通信に使われるポート2375だと判明し
みなさんコンテナを使うことの意味を自信もって答えられるでしょうか? ここ1年ほどコンテナ関連の仕事をメインでやっているハマコーですが、いろんなお客様からこういったお声をいただくことが多くありました。 「それはコンテナ化する意味があるの?」 「こんなコンテナ運用は危ない?」 「ECSの設定とか実際めんどい。docker runじゃだめ?」 「EKSって使えんの?」 そういう声を聴く中で、自分なりの答えを模索していたわけですが、岡山での弊社イベントAWS最新技術の祭典Developers.IO 2019 at 岡山城へ登壇するにあたり、そのあたりのもやもやを自分なりに昇華したのが、本日の内容です。 「このアプリをコンテナ化する意味があるのか、わからない」 「コンテナ化することで余計めんどくさくなった」 「AWSのコンテナサービスの何を使ったら良いのかわからない」 という悩みを抱えている方には、
Windowsコンテナはデスクトップの夢を見ない:その知識、ホントに正しい? Windowsにまつわる都市伝説(150) Windows Server 2016およびWindows 10 バージョン1607からは、Dockerのサポートが追加されました。WindowsがDockerに対応したことで、“デスクトップアプリをDockerでコンテナ化したい”という声を聞いたことがありますが、実現不可能なことです(少なくとも現時点では)。チャレンジすることは止めませんが、無駄な努力に終わると思います。 Windowsにまつわる都市伝説 LinuxならGUIアプリをコンテナ化できるのに、Windowsだとなぜできないの? Dockerの技術は、主にクラウドアプリやサービスの開発現場で、開発とデプロイのスピードアップを図るために使用される技術です。GUIを持つデスクトップアプリのコンテナ化はそもそも想
7月に修正された「Docker」の脆弱性「CVE-2019-14271」に関する実証コードが公開された。これまで注目を集めることが少なかった脆弱性だが、ホストのルート権限を取得されるおそれがあり、分析したPalo Alto Networksは、同ソフトにおいて「これまででもっとも深刻な脆弱性」と表現している。 「CVE-2019-14271」は、「同19.03.1」より以前のバージョンに存在する「コードインジェクション」の脆弱性。コンテナ間でファイルのコピーに用いるコマンド「docker cp」に起因し、コンテナより脆弱性が悪用されると、ホストのルート権限を取得されるおそれがあるという。 同脆弱性について調査を行ったPalo Alto Networksは、2月に判明したコンテナのランタイム「runc」における脆弱性「CVE-2019-5736」と同様に危険で、「Docker」においてこれま
10月13日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。 ■S3の設定ミスにより20万件を超える応募者の履歴書が公開される 米国の求人掲示板Authentic Jobsとイギリスの求人アプリSonicJobs App。Authentic Jobsは221,130件の応募者の履歴書を公開していた。Sonic Jobsは、マリオットおよびインターコンチネンタルのホテルチェーンが使用するイギリスの小売およびレストランの求人アプリで、29,202件の応募者の履歴書を公開していた。 両社は、Amazon Web Services(AWS)バケットの設定をパブリックに設定し、保存された履歴書をS3バケットの場所を知っている人なら誰でもアクセスできるようになっていた。 ■Dockerホストを狙う、クリプトジャック ワームGraboid パロアルトネットワークスのU
運用管理が楽になり、クラウドとの親和性も高い――エンジニアならば避けては通れない「コンテナ」技術のメリットは、既に多くのエンジニアが肌で感じているものだろう。コンテナアプリケーションを動かすまでには、コンテナイメージを作成し、レジストリにアップロードし、そのイメージをデプロイ先にダウンロードし、コンテナを実行するというプロセスを踏む。コンテナアプリケーションの構成はDockerfileなどのテキストで表現できることもあり、構成管理は可読性も高い。 では、そこに“脅威”はないのだろうか? コンテナ技術が普及期に入ったこともあり、昨今では“コンテナセキュリティ”に関しても注目が集まっている。しかしコンテナセキュリティが指すポイントについてはさまざまな意見があり、「いったいどこを守るべきなのか」「どこに脅威があるのか」がよく分からないというエンジニアも少なくないだろう。 そこで今回、トレンドマイ
コンテナイメージは、脆弱性を含んだアプリケーションや不正プログラムを含んでいることがある。システムを運用している最中にこれらの脆弱性が発覚した場合、システムの改修や業務の停止につながってしまうため、システム開発時に脆弱性や不正プログラムを検出する仕組みが求められる。 Smart Checkは、システム開発時に、コンテナイメージ内に存在する脆弱性と不正プログラム、クラウドサービスのアクセスキーなどをスキャンする。これにより、個々のコンテナイメージの危険度を可視化する。これにより、修正プログラムを適用したり、運用時に対策したりできるようになる。 スキャンした脆弱性は、緊急度に応じて「Critical」、「High」、「Medium」、「Low」、「Negligible」、「Unknown」の6つのレベルで表示する。また、コンテナイメージが不正プログラムを含むかどうかを、パターンマッチングや機械
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Kenna Securityは米国時間5月20日、「Docker Hub」上で広く利用されている1000の「Docker」コンテナのうち、およそ20%がある種の条件下でユーザーシステムに対する攻撃を許す設定になっていることを明らかにした。 これは、Cisco Talosが8日に明らかにした、公式版の「Alpine Linux Docker」コンテナに存在する脆弱性と同じ問題と言える。Alpine Linux Dockerイメージは過去3年間にわたり、パスワードを空白にした管理者アカウントが有効な状態でリリースされていた。 Kenna Securityの主席セキュリティエンジニアであるJerry Gamblin氏は、Docker Hub上
こんにちは、SkyWayの開発・運用をしている岩瀬(@iwashi86)です。 今回の記事では、弊社の研修内容の一部を公開します。 研修の狙い 毎年200名超の社員がNTTコミュニケーションズグループに入社しています。 入社いただいた社員の中には、もともと高い技術力を持っている社員も多くいます。 今年度より、ソフトウェアエンジニアリングのスキルの高い社員(今回は35名)を対象として新たな研修1を実施しています。 研修の主な狙いは以下の2つです。 即戦力レベルのスキル習得 実際の現場で有用となる技術・開発スキルの習得して、現場ですぐに活躍できるように ネットワーキングの強化 / コミュニティ形成 同期だけでなく、講師・メンタを含む先輩エンジニアとのネットワークを形成し、互いに影響を与え合い成長できるように なお、2点目について補足すると、今回の研修では社外のエキスパートによるプログラムに加え
2019年2月に発覚した脆弱性が悪用され、仮想通貨の採掘に利用されているDockerホストが多数見つかったと伝えた。 DockerやKubernetesなどに使われているオープンソースのコンテナランタイム「runc」に脆弱性が見つかった問題で、セキュリティ企業のImpervaは3月4日、この脆弱性を突いて仮想通貨の採掘に利用されているDockerホストが多数見つかったと伝えた。 2月に発覚したruncの脆弱性では、攻撃者がroot特権を獲得できてしまう可能性が指摘されていた。Impervaによると、この脆弱性と、リモートでDockerホストをコントロールするために使われているAPIを組み合わせれば、ホストを完全に制御できてしまう恐れがある。 同社によれば、既に悪用されているDockerリモートAPIが多数存在しており、その多くは、制御したホストを仮想通貨の採掘に利用しているという。 Doc
[速報]GitHub Actions発表、Dockerコンテナの連係によるワークフローを自由に定義可能。GitHub Universe 2018 GitHubが主催するイベント「GitHub Universe 2018」が、サンフランシスコで開幕しました。 初日の基調講演で同社は「Pull Request以来もっとも大きな新機能」(同社シニアバイスプレジデント Jason Warner氏)とするGitHubの新機能「GitHub Actions」を発表しました。 GitHub Actionsとは、GitHubのイベントをトリガーとして任意のDockerコンテナの実行を連係させていくことにより、ユーザーが自由にワークフローを定義できるというものです。 ワークフロー内のアクションとしてDockerコンテナを実行できるため、コードのビルドやテストの実行、クラウドへのデプロイなど、GitHubの機
Google、コンテナイメージ内のOSの脆弱性を自動発見してくれる「Container Registry vulnerability scanning」をベータ公開 Googleは、Dockerコンテナをビルドしたコンテナイメージをスキャンし、OSの脆弱性を発見してくれる機能「Container Registry vulnerability scanning」をベータ版として公開すると発表しました。 Dockerコンテナはアプリケーションと一緒にカーネル以外のOSが一緒にパッケージングされます。このとき、OSに最新のパッチが適用されていないなどの脆弱性がOSに存在する可能性があります。 万が一脆弱性が残ったままのコンテナイメージがデプロイされると、外部からシステムに対して脆弱性を突かれてしまうことになりかねません。 Container Registry vulnerability scan
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く