前回に続いて、分析を実践していきます。今回は、コンテナが乗っ取られた場合の被害の分析です。

図1●攻撃者の攻撃手順と必要な権限。今回は(B)で示した攻撃を解説する
[画像のクリックで拡大表示]

 図1(B)の段階の分析を例とともに紹介します。題材として取り上げるのは第4回でも紹介したコンテナです。第4回でコンテナからホストのカーネルログへのアクセスは許可されていないところは確認しましたが、ホストのファイルへのアクセスはどうなのでしょうか。今回は、コンテナがホストのどのファイルに書き込みアクセスを許可されているのか分析します。これにより、コンテナに脆弱性があり悪用された場合、ホストのどのファイルが破壊される危険性が把握できます。

 ファイルへのアクセス許可分析はやや複雑で図2のような手順に従って分析していきます。

図2●ファイルへのアクセス許可の確認の流れ
[画像のクリックで拡大表示]

(1)対象ドメインを選定

 攻撃された場合のインパクトを分析したいプロセスのドメインを選定します。psコマンドのZオプションで調べると、今回は、コンテナに付与される「svirt_lxc_net_t」ドメインが対象となります。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら