Darktraceのマルウェア研究エンジニア、Nathaniel Bill氏は6月10日、Dockerベースのハニーポットに対する侵入の分析結果を発表しました。攻撃者は設定ミスのあるコンテナを利用してホストに脱出し、Nezha——GitHubで約1万スターを獲得している、正当な中国製オープンソースサーバー監視ツール——を隠れたコマンド&コントロール(C2)インプラントとしてインストールしました。攻撃チェーンは、ホストのcron.dディレクトリをコンテナに渡す悪意のあるdocker createコマンドから始まりました。攻撃者はその後、ルート権限のcronジョブを作成し、リモートのシェルスクリプトを取得・実行させました。このスクリプトは、攻撃者のサーバーアドレスが事前設定され、対話型プロンプトが除去されたNezhaの公式インストーラーの改変版をダウンロードするものです。Nezhaは広く認知された管理ツールであるため、その存在は通常の運用ツールの中に紛れ込み、マルウェアを対象とした検知を回避できます。Darktraceはこの手法を「信頼の逆転(Trust Inversion)」と呼んでいます。分析時点で、攻撃者のNezhaダッシュボードには141台の感染サーバーが表示されており、そのうち45台はまだオンラインでした。また、このキャンペーンにより設計上の癖も明らかになりました。Nezhaの監視パネルは、ホスト一覧を閲覧するために認証を必要としないため、被害者プールの規模と地理的分布が誰でも閲覧可能になっています。Darktraceは別途、ShodanおよびCensysを通じてアクセス可能な、インターネットに公開された33のNezhaインストールを特定しました。
並行して、中国語圏のVPSコミュニティは防御ツールの開発を進めています。GitHubプロジェクト「Nezha-cleaner」(スター41、MITライセンス)は、10ステップのbashスクリプトを提供しており、Nezhaプロセスの終了、systemdサービスとバイナリの削除、cronエントリの消去、ファイルシステムの残存トレースのスキャンを実行します。今月リリースされたv1.4では、無関係なコンテナを誤って削除しないよう、3層のDocker保護機能が追加されました。このプロジェクトは2025年5月に初めて公開され、急速に改良を重ねており、Linux VPSホスト上での無許可のNezhaインストールという根深い問題が持続していることを示唆しています。これらの情報源とともにリンクされているNodeSeekフォーラムのスレッドは、検出と修復に関する活発なコミュニティ議論を反映しています。Darktraceの大局的な教訓は次の通りです。デュアルユースソフトウェアの悪用が増加する中、組織はシグネチャベースのマルウェア検出のみに依存するのではなく、行動と資産可視性に基づく制御に投資すべきです。特にクラウド環境では、正当な監視ツールと攻撃者のバックドアが機能的に区別できない可能性があるためです。