概要
ハッカーは、Kubernetes の設定ミスを利用してコンテナから高価値のクラウドアカウントへと移動し、単一の侵害されたポッドからフルクラウドレベルへのアクセスを獲得しています。この傾向は急速に進行しており、企業環境全体で Kubernetes 関連の ID アブuse およびトークン窃取作業が著しく増加しています。
背景
Kubernetes は多くの大規模なアプリケーションを支える基盤となりつつあり、バックエンドクラウドシステムに到達したい攻撃者にとって魅力的な標的となっています。パブリックフェースのサービスがイングレスコントローラーやロードバランサーを通じて露出されると、脅威アクターはアプリケーションレイヤーのバグを突く最初の道筋を得ることができます。
攻撃パターン
攻撃者は通常、脆弱性や設定ミスを利用してコンテナ内でリモートコード実行を達成します。次に、Kubernetes の ID を盗み、サービスアカウントトークンを取得し、それらを使用してクラスターやクラウドサービス全体での権限を昇格させます。
具体的な事例
暗号通貨プラットフォームの事例:
- 開発者のワークステーションを侵害し、クラウドセッションを使用して悪意のあるポッドをプロダクション Kubernetes クラスターに展開。
- 強力な CI/CD 管理 ID として機能するサービスアカウントトークンを露出。
- Kubernetes API に直接認証し、セキュリティ情報のリストとバックドアを生産ワークロードに設置。
- クラウドホストされたバックエンドシステムへ移動し、さらに資格情報を収集して金融インフラに到達。
React2Shell脆弱性 (CVE-2025-55182)
この脆弱性は、特定の HTTP リクエストを介して未認証リモートコード実行を可能にする重大なバグです。攻撃者はこの脆弱性を利用して Kubernetes ホストアプリケーションコンテナ内でコマンドを実行しました。
防御策
これらの脅威に対抗するには、単にコンテナをパッチアップするだけでなく、ID 意識型の制御と強力な可視性が必要です。セキュリティチームは厳格な RBAC と Pod セキュリティ基準を適用し、長期間有効なトークンを短寿命の投影サービスアカウントトークンに置き換えるべきです。
結論
Kubernetes のセキュリティは日々進化しています。企業はこれらの脅威に対抗するためには、継続的な実行時監視とクラウドテレメトリとの統合を含む包括的なアプローチが必要です。