概要
Docker DesktopとDocker Command-Line Interface(CLI)に組み込まれたAIアシスタント「Ask Gordon」に、リモートコード実行や機密データ流出を可能にする重大なセキュリティ脆弱性「DockerDash」が発見されました。この脆弱性は、セキュリティ企業Noma Labsによって開示され、Dockerは2025年11月にリリースされたバージョン4.50.0で対処済みです。
DockerDash脆弱性の詳細
Noma Labsのセキュリティ研究責任者Sasi Levi氏によると、DockerDashは悪意のあるメタデータラベルを含む単一のDockerイメージを介して、Docker環境を侵害します。攻撃はシンプルな三段階で進行し、Gordon AIが悪意のある指示を読み取り、MCP(Model Context Protocol)Gatewayに転送し、MCP Gatewayがそれを検証なしにMCPツールを介して実行するというものです。
この問題の根源は、AIアシスタントが未検証のメタデータを実行可能なコマンドとして処理する点にあります。これにより、攻撃者はセキュリティ境界を回避し、検証なしに悪意のある指示を異なるレイヤーへと伝播させることが可能になります。Noma Securityはこれを「メタコンテキストインジェクション」と特徴付けており、MCP Gatewayが情報提供目的のメタデータ(標準的なDockerのLABELなど)と、事前承認された実行可能な内部指示を区別できないために発生すると説明しています。
攻撃シナリオ
DockerDashのコード実行攻撃チェーンは以下の通りです。
- 攻撃者は、Dockerfileの
LABELフィールドに、悪用を意図した命令を埋め込んだDockerイメージを作成し、公開します。 - 被害者がそのイメージについてAsk Gordon AIに問い合わせると、Gordonは
LABELフィールドを含むイメージメタデータを読み取ります。この際、Ask Gordonは正当なメタデータの説明と埋め込まれた悪意のある命令を区別できません。 - Ask Gordon AIは解析した命令をMCP Gatewayに転送します。MCP Gatewayはこれを信頼されたソースからの標準的なリクエストとして解釈し、指定されたMCPツールを追加の検証なしに呼び出します。
- 結果として、MCPツールは被害者のDocker権限でコマンドを実行し、コード実行が達成されます。
データ流出の脆弱性も同様のプロンプトインジェクションの欠陥を利用しますが、こちらはAsk GordonのDocker Desktop実装を標的とします。AIアシスタントの読み取り専用権限を悪用し、MCPツールを通じて被害者の環境に関する機密データ(インストールされたツール、コンテナの詳細、Docker設定、マウントされたディレクトリ、ネットワークトポロジーなど)を収集する可能性があります。
影響と対策
この脆弱性が悪用された場合、クラウドおよびCLIシステムでは深刻なリモートコード実行、デスクトップアプリケーションでは高影響度のデータ流出につながる可能性があります。
Dockerはバージョン4.50.0でDockerDashの修正を行い、同バージョンではPillar Securityが発見した、Docker Hubリポジトリのメタデータを改ざんしてAIアシスタントを乗っ取り機密データを流出させる可能性があった別のプロンプトインジェクション脆弱性も解決されています。
Noma LabsのLevi氏は、「DockerDashの脆弱性は、AIサプライチェーンリスクを現在の主要な脅威として扱う必要があることを強調している」と述べ、「信頼された入力ソースが悪意のあるペイロードを隠し、AIの実行パスを容易に操作できることを証明している」と警告しています。この新しいクラスの攻撃を緩和するためには、AIモデルに提供されるすべてのコンテキストデータに対してゼロトラスト検証を実装することが強く求められます。
元記事: https://thehackernews.com/2026/02/docker-fixes-critical-ask-gordon-ai.html