/note/tech

研究者がDockerイメージから大量の機密データ発見、確認を

研究者はDockerイメージを分析し、2万8,621個のDockerイメージから5万2,107個の秘密鍵と3,158個のAPIキーを発見したとしている。見つかったこれら鍵のうち、秘密鍵の95%およびAPIキーの90%はシングルユーザーイメージに存在しており、意図せずに流出した可能性が高いことことが指摘されている。

Docker HubにはDockerコミュニテイによって作成されたDockerイメージが保存されており、共有および配布などに使われている。Dockerは手軽に必要な環境を用意することができ、開発や運用において活用されている。こうしたDockerのイメージにパスワードや秘密鍵、APIキーといった機密情報が含まれてしまっていることは以前から指摘されており、今回の研究もこの指摘を裏付ける内容になっている。

Dockerイメージに含まれている秘密鍵やAPIキーがサイバー攻撃者によって悪用されている危険性が指摘されており注意が必要。Docker HubなどにDockerイメージを登録したり、または、こうした場所から取得したDockerイメージを使ったりする場合は、鍵が含まれていないか確認するとともに、鍵が含まれている場合には登録の削除や使用の停止など、適切な対応を取ることが望まれる。

DockerとDocker Hubが密結合になってるのでうっかりイメージをアップロードする事故は起きてるだろうなとは思っていた。

まぁ、手抜きしてAPIキーや秘密鍵を封入したイメージ作るのが悪いというのはあるんだけども。