はじめに SOCではインターネットに対して公開されたホストを狙うスキャン活動を観測しています。2021年以降は特に6379/TCP(Redis)と2375/TCP(Docker API)へのスキャンが大幅に増加していることを確認しており、IIJが発行している技術レポート「Internet Infrastructure Review(IIR)Vol.54」内のSOCレポートで紹介しています。 Redisはパスワードが標準では設定されていないため、外部に公開するとパスワードなしでアクセスされる可能性があります。 攻撃者によりconfigコマンドが悪用されることで、任意のコマンドが実行される恐れがあります。 また、Dockerはコンテナを操作できるDocker APIを外部に公開すると、攻撃者が用意したコンテナイメージがデプロイされ、任意のコマンドが実行される恐れがあります。 図-1と図-2に、
![Redis・Docker APIを狙うマルウェアの調査とスキャンの観測](https://cdn-ak-scissors.b.st-hatena.com/image/square/a795f8af3f6b20048eca4c8263d27b34c5a8a4e0/height=288;version=1;width=512/https%3A%2F%2Fwizsafe.iij.ad.jp%2Fwp-content%2Fthemes%2Fwizsafe_theme%2Fimages%2Flogo-og.png)