主要なコンテナランタイム「runc」に重大な脆弱性が見つかった。攻撃者がこの脆弱性を悪用すると、コンテナ経由でホストシステムの管理者権限を奪える可能性がある。対策はあるのか。
コンテナ管理ソフトウェアの「Docker」でも利用されている、オープンソースのコンテナランタイム(コンテナの実行に必要なソフトウェア)の筆頭格「runc」に重大な脆弱(ぜいじゃく)性「CVE-2019-5736」が見つかった。runcの開発者は2019年2月にこの脆弱性に対するセキュリティ情報とパッチを公開した。
攻撃者がこの脆弱性を悪用した場合、攻撃者自身がアクセス権限を持つコンテナを経由して、そのコンテナが稼働するホストシステムにおいて「root」などの管理者権限を取得できるようになる可能性がある。攻撃者が管理者権限を取得すると、システムに対する重要な操作が可能になってしまう。
こうしたコンテナを経由したホストシステムの攻撃は、「コンテナからホストシステムへの脱出」の意味で「コンテナエスケープ」という。コンテナエスケープは、攻撃者が書き込み権限を取得した既存のコンテナの侵害、あるいは改変したイメージファイルを用いた有害なコンテナの作成に悪用される。
セキュリティ担当者にとって、コンテナのホストシステムで悪意あるユーザーによる操作を可能にしてしまうコンテナエスケープを引き起こす脆弱性が広く知られたのは、今回が初めてではない。2016年終盤には、コンテナエスケープにつながる脆弱性「CVE-2016-9962」に関する情報が公開された。この脆弱性もruncによるホストシステムの操作に影響を及ぼすもので、コンテナやコンテナイメージへのアクセス権限を持つ攻撃者によるコンテナエスケープを可能にする恐れがあった。
Copyright © ITmedia, Inc. All Rights Reserved.
混雑や逆光に弱いウォークスルー顔認証、高精度と高速処理をどう実現するか (2025/8/13)
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...