DockerのPostgreSQLがマルウェアに感染した話

DockerのPostgreSQLが マルウェアに感染した話 第8回サイバーセキュリティ勉強会2023 in 塩尻 2023年2月4日(土) 長野県塩尻市 塩尻インキュベーションプラザ(SIP)

自己紹介 ◼ ◼ ◼ ◼ ◼ 大原 慎一郎 トラストネットワークス 長野県塩尻市 IPAのセキュリティプレゼンターに登録 2016年からNISCサイバーセキュリティ月間に 合わせて毎年サイバーセキュリティ勉強会を 長野県塩尻市にて開催 2023/2/4 ©2023 Ohhara Shinichiro

アジェンダ ◼ ◼ ◼ ◼ ◼ ◼ Qiitaでレポートしてバズった件 何が起きたのか？ 仮想通貨マイニング・マルウェア 感染原因1・ファイアウォール設定 感染原因2・アカウント設定 セキュリティ対策 2023/2/4 ©2023 Ohhara Shinichiro

Qiitaでレポートしてバズった件 ◼ Qiitaに投稿したら週間1位になりました Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita https://qiita.com/ohhara_shiojiri/items/08909bfaed8073af57f0 2023/2/4 ©2023 Ohhara Shinichiro

• https://qiita.com/ohhara_shiojiri/items/08909bfaed8073af57f0

何が起きたのか？ ◼ ◼ ◼ サーバーのロードアベレージ数値が常時4を超 えた状態に！ つまりCPU負荷が常時400%超え！ PostgreSQLサーバーの動作が激重に！ 従量課金のクラウドの場合は毎秒毎分で料金 が加算されて莫大な利用料金の請求が来る 事態になりかねない！ 2023/2/4 ©2023 Ohhara Shinichiro

仮想通貨マイニング・マルウェア ◼ ◼ ◼ ◼ CPU負荷の原因プロセスの調査 Dockerコンテナのリソース状態 /tmp/kinsing /tmp/kdevtmpfsi Kinsing(kdevtmpfsi)マルウェア Dockerホストで仮想通貨をマイニングしてCPU 負荷を掛けるマルウェア 2023/2/4 ©2023 Ohhara Shinichiro

感染原因1・ファイアウォール設定 ◼ ◼ ◼ サービスポートの外部公開設定 (PostgreSQLの場合TCP:5432) ファイアウォールの設定場所 1.ネットワーク側 2.ホスト側 3.Docker側 設定を2で行ったが実際は3で失敗している 2023/2/4 ©2023 Ohhara Shinichiro

感染原因2・アカウント設定 ◼ ◼ ◼ DockerのPostgreSQLのアカウント設定 初期設定ではアカウントとパスワードが共に 「postgres」と記述されている 初期設定のままPostgreSQLのDockerコンテナ を起動させて失敗している 2023/2/4 ©2023 Ohhara Shinichiro

セキュリティ対策 ◼ 正しくファイアウォールを設定 ◼ ◼ ◼ 意図したサービスポートの設定か確認する 必ずサービス前に動作確認する 正しくアカウントを設定 ◼ ◼ 2023/2/4 認証を必要とするサービスの資格情報を確認 安易なパスワードを設定しない事 ©2023 Ohhara Shinichiro

ご清聴ありがとうございました ◼ ◼ ◼ ご質問やご意見、ご感想は質疑応答の際にお 申し出ください。 この講演内容は個人的なものであり、所属に 関わらず特定の組織の意見を代表するもので はありません。 ありがとうございました。 2023/2/4 ©2023 Ohhara Shinichiro