【参考情報】ShadowV2：クラウド／コンテナ環境を悪用する攻撃

いつも「みまわり伝書鳩」をご愛顧いただきまして誠にありがとうございます。

ShadowV2ボットネットのみまわり伝書鳩に対する脆弱性/感染可能性について
においてご説明いたしました、ShadowV2ボットネットに関して、
他の攻撃感染経路がありましたため、ご報告いたします。
なお、新規攻撃経路においてみまわり伝書鳩のSenSuユニット¹への影響はございません。

最近の報告では、ShadowV2 は従来型の IoT 機器だけでなく、誤設定された Docker デーモン（API が外部公開された状態のもの）を標的とするモードを持つことがわかっています。
これにより、性能の高い機器を悪用した、より高度な攻撃に利用される危険があります。

攻撃の流れは以下の通りです：

1. スキャン

攻撃者がインターネットに公開された Docker API / Docker デーモンをスキャン。特にクラウド環境（例：Amazon EC2 のインスタンス上）の Docker が標的になりやすい。

2. 初期コンテナの起動

API 経由で Docker コンテナを起動。最初は汎用イメージ（例：Ubuntu コンテナ）を使用し、必要なツールやマルウェアをその中にインストール。

3. カスタムコンテナの生成／デプロイ

“build-on-victim” 型でカスタムコンテナイメージを生成し、マルウェア（Go ベースのバイナリ）を内包させて稼働させる。

4. C2 接続と攻撃活動

コンテナ内のマルウェアは C2 サーバに接続し、ボットネットの一部として機能。HTTP/TCP/UDP フラッドや HTTP/2 Rapid Reset など、高度な DDoS 攻撃手法を実行可能。

5. DDoS-as-a-Service の提供

このモードでは攻撃者の顧客が Web UI や API を通じて攻撃対象や手法を指定可能で、典型的なボットネットから「クラウド／コンテナ時代の新しいボット／DDoS プラットフォーム」へと変化している。

Docker などのツールは非常に便利ですが、その反面、設定を誤ることで予期せぬ問題が発生することがあります。
そのため、「特に変更を行っていないから」といってこうした環境を放置せず、定期的に設定や挙動を点検し、想定していない動作が発生していないかを確認することをお勧めします。