Bleeping Computerは7月16日(米国時間)、「Thousands of images on Docker Hub leak auth secrets, private keys」において、ドイツRWTHアーヘン大学の研究者の研究結果を引き合いに出し、Docker Hubでホストされている何万ものコンテナイメージに機密情報が含まれていると報じた。研究者らは33万7,171のイメージを分析し、約8.5%に秘密鍵やAPIキーなどの機密データが含まれていることを発見したと伝えている(参考「Secrets Revealed in Container Images:An Internet-wide Study on Occurrence and Impact」)。

  • Thousands of images on Docker Hub leak auth secrets、private keys

    Thousands of images on Docker Hub leak auth secrets, private keys

研究者はDockerイメージを分析し、2万8,621個のDockerイメージから5万2,107個の秘密鍵と3,158個のAPIキーを発見したとしている。見つかったこれら鍵のうち、秘密鍵の95%およびAPIキーの90%はシングルユーザーイメージに存在しており、意図せずに流出した可能性が高いことことが指摘されている。

Docker HubにはDockerコミュニテイによって作成されたDockerイメージが保存されており、共有および配布などに使われている。Dockerは手軽に必要な環境を用意することができ、開発や運用において活用されている。こうしたDockerのイメージにパスワードや秘密鍵、APIキーといった機密情報が含まれてしまっていることは以前から指摘されており、今回の研究もこの指摘を裏付ける内容になっている。

Dockerイメージに含まれている秘密鍵やAPIキーがサイバー攻撃者によって悪用されている危険性が指摘されており注意が必要。Docker HubなどにDockerイメージを登録したり、または、こうした場所から取得したDockerイメージを使ったりする場合は、鍵が含まれていないか確認するとともに、鍵が含まれている場合には登録の削除や使用の停止など、適切な対応を取ることが望まれる。