概要
2025年11月に実施された包括的なセキュリティ分析により、コンテナイメージの配布における重大な脆弱性が明らかになりました。10,000件を超えるドッカーハブ(Docker Hub)上のコンテナイメージから、本番環境の認証情報が漏洩していることが判明しました。この問題は、フォーチュン500企業や中央銀行を含む100社以上の組織に影響を与えています。
この調査は、開発者が意図せず機密性の高い認証情報をコンテナイメージに直接埋め込んでいるという、憂慮すべき傾向を浮き彫りにしています。漏洩したシークレットには、クラウドサービスのAPIキー、データベースの認証情報、AIモデルのトークン、CI/CDパイプラインへのアクセス情報などが含まれており、攻撃者に本番環境への認証済み経路を、エクスプロイトを必要とせずに提供していることになります。
詳細な調査結果
調査では、205の異なるドッカーハブのネームスペースにまたがる10,456件のコンテナイメージで、漏洩したシークレットが確認されました。高および重大度の検出結果をフィルタリングした結果、101のネームスペースが特定の組織に帰属することが判明しました。影響を受けたセクターは多岐にわたり、特にソフトウェア開発、金融サービス、ヘルスケア企業が顕著でした。
- 特に懸念される発見として、漏洩したイメージの42%がそれぞれ5つ以上のシークレットを含んでいたことが挙げられます。
- 単一のコンテナが侵害されるだけで、クラウド環境、CI/CDパイプライン、データベースシステム全体が同時に危険にさらされる可能性があります。
- AIおよび機械学習トークンが最も頻繁に漏洩しており、OpenAI、Anthropic、Hugging Faceなどのプロバイダーから約4,000件のAPIキーが漏洩していました。
新たな攻撃ベクトルと盲点
この調査は、危険な新しい攻撃パラダイムを示しています。攻撃者はシステムをハッキングする代わりに、偶然公開された認証情報を使って認証を行うだけで済みます。この方法により、高度な境界防御や多要素認証の保護が完全に回避されてしまいます。
請負業者、フリーランサー、従業員が使用する個人用ドッカーハブリポジトリである「シャドーITアカウント」が、重大な盲点として浮上しました。組織はこれらのアカウントに対する可視性を欠いており、数ヶ月から数年にわたる未検出の漏洩を生み出しています。ある注目すべきケースでは、フォーチュン500企業のシークレットが、企業の監視システムから完全に外れた個人リポジトリを通じて漏洩していました。
最も一般的な間違いは、ドッカービルド中にシークレットを含む.envファイルを埋め込むことです。漏洩した認証情報は、25%の開発者が1〜2日以内に削除しましたが、約75%は根本的なキーの取り消しを怠り、可視化された漏洩が対処された後もシステムが脆弱なままになっていました。
推奨される対策
研究者らは、シークレットをコンテナイメージに静的に保存する必要性をなくすため、環境変数を通じて実行時にのみシークレットを注入することを推奨しています。また、組織は、すべてのレジストリで自動化されたシークレットスキャンを実装し、GitHub、ドッカーハブ、その他の公開プラットフォームにおける外部からの認証情報漏洩を監視する体制を確立すべきです。
この調査は、現代のサプライチェーンセキュリティが高度な攻撃ではなく、ほとんどの組織がまだ習得していない基本的な認証情報衛生(credential hygiene)の実践にかかっていることを強調しています。