本文の内容は、2025年8月6日に David Huckaby が投稿したブログ(https://sysdig.com/blog/threat-hunting-with-sysdig-uncovering-ingressnightmare)を元に日本語に翻訳・再構成した内容となっております。
新たな脅威に関しては、そのスピードは計り知れません。優先順位付けは有効ですが、実際に悪用されているものを迅速に見つけるにはどうすればよいでしょうか?
この記事では、クラウドセキュリティ業界全体に波紋を広げているKubernetesの脆弱性、 IngressNightmare について詳しく解説します。このゼロデイ脆弱性は、NGINX Ingress Controller の普及により、Kubernetes環境の約40%に影響を与えました。このような深刻な状況下では、セキュリティチームはパッチ適用以上の対応を迫られています。脆弱性を迅速に特定し、侵害の兆候を調査し、自信を持って対応する必要があります。
Sysdig脅威リサーチチーム
ゼロデイ脆弱性の検出は容易ではありません。未知の脆弱性を発見、分析、検証するには、豊富な経験、高度な手法、そして十分なリソースが必要です。だからこそ、Sysdigの脅威リサーチチームのような専任リソースの存在が大きな違いを生み出します。IngressNightmare脆弱性が発見されると、Sysdigチームは即座に行動を起こし、アクティブなエクスプロイトをリアルタイムで特定できるランタイム検知ルールを開発しました。このルールはSysdigのマネージドランタイム脅威検知ポリシーに即座に追加され、脆弱性が明らかになったその日から、広範囲にわたるエクスプロイトが始まる前に、Sysdig Secureのすべてのお客様に環境全体を即座に保護できるようになりました。
では、Sysdig脅威リサーチチームが高精度な検知で迅速に対応できる秘密兵器とは何でしょうか?その秘密は、Sysdigのオープンソースランタイムセキュリティエンジンであり、検知機能の基盤となっているFalcoにあります。Falcoは、Linuxカーネルに直接アクセスし、システムコールをリアルタイムで監視することで、柔軟で強力な検知ルールを迅速に作成することを可能にします。あらゆるコマンド、ファイルアクセス、ネットワーク接続、そしてプロセスをリアルタイムで監視することで、システムアクティビティを詳細に可視化し、極めて高い精度で脅威を検知することを可能にします。
IngressNightmare の脆弱性と Sysdig の脅威リサーチチームの対応について詳しくは、IngressNightmare の検知と緩和に関するブログ投稿全文をご覧ください。
Sysdigによる脅威ハンティング
脆弱性、特に現在悪用されている脆弱性を特定するには、スピードが非常に重要です。今回のような新たな脆弱性が公開された場合、自社の環境にそれが存在するかどうかをどのように確認すればよいのでしょうか?さらに重要なのは、サイバーセキュリティのニュースを注意深く監視しておらず、脆弱性を探す方法をまったく知らない場合はどうなるでしょうか?そこでSysdigの新しい脅威インテリジェンスフィードが役立ちます。これらのフィードは、新興の脅威や注目度の高い脅威への露出を迅速に評価するのに役立ちます。各エントリには、マルウェア、CVE、設定ミス、サプライチェーンリスクなど、脅威の簡潔な概要と、環境が影響を受けているかどうかに関する洞察が提供されます。また、Graph Searchへの直接リンクも提供されるため、影響を受けるワークロード、パッケージ、ID、または修復が必要なホストをすぐに調査できます。
IngressNightmare のような注目度の高い脆弱性の場合、脅威インテリジェンス フィードは、「リスクにさらされているか」という重要な質問に答えるのに役立ち、影響を受けていない場合の不要なトリアージを回避しながら、対応作業を効率的に集中させることができます。
Sysdig Graph Search
上記のSysdig Threat Feedから直接、あらかじめ構築されたGraph Searchクエリをすばやく起動することで、影響を受けているリソースを即座に深掘りでき、どのワークロード、パッケージ、ホストがリスクにさらされているかを即時に可視化できます。
クエリが完了したので、影響を受けているKubernetesリソース自体に焦点を当てています。リソースパネルを開くと、重大なリスク指標を確認できます。このワークロードには、重大度の高い脆弱性が複数存在し、インターネットに公開されており、アクティブなランタイム脅威がトリガーされています。これらのインサイトは即座に表示されるため、最初に対応が必要なものを優先順位付けするのに役立ちます。
Sysdig 脅威管理
Sysdig Threat Managementでは、このワークロードでわずか9時間前にトリガーされたアクティブなランタイム検知を確認できます。脅威をドリルダウンすることで、関連するランタイムアクティビティの詳細なビューが得られ、攻撃チェーン全体を明確にマッピングできます。このコンテキストは、調査対象の脆弱性が既に環境で悪用されているかどうかを確認するために不可欠です。
脅威の「イベント」セクションでは、インシデントに関連するすべての検知イベントの詳細なタイムラインが表示されます。ここでは、IngressNightmareエクスプロイトが実行され、攻撃者がリモートコード実行を許可され、ワークロード上でシェルを開くことができたことが明らかになっています。このレベルの可視性は、攻撃者の行動と影響範囲を理解するために不可欠です。
Sysdig インラインレスポンス
私たちの環境がIngressNightmareに対して脆弱であり、かつ積極的に悪用されていることが確認されたため、迅速な対応が不可欠です。復旧作業を進める間、封じ込めを最優先に進めていきます。
Sysdigは、プラットフォームに組み込まれた自動および手動の対応アクションにより、このプロセスを効率化します。脅威イベントから「対応」セクションに移動するだけで、影響を受けるワークロードの隔離、疑わしいプロセスの強制終了、あるいはフォレンジック分析のためのファイルの隔離など、適切な対応を選択して実行できます。
ここでは、影響を受けたコンテナを強制終了することを選択し、攻撃を事実上阻止します。このアクションにより、攻撃者が確立した可能性のあるアクティブなプロセスやリモートセッションが即座に終了します。これは、クラスターへの広範な混乱を回避しながら、脅威を封じ込める迅速かつ決定的な方法です。コンテナを停止することで、さらなる調査を行い、自信を持って修復を開始するための時間を稼ぐことができます。
Sysdig Sage修復ガイダンス
この調査を完了し、脅威を完全に封じ込めるためには、次の重要なステップはワークロード自体の修復です。Sysdig Sageは、コンテナイメージ内の脆弱なパッケージとベースイメージの両方に対して、 AIを活用した詳細な修復ガイダンスを自動生成することで、このプロセスを簡素化し、アプリケーション全体に対する包括的な修正を行えます。これらの修復を適用することで、脅威が完全に封じ込められたと確信できます。
Sysdigのクラウドセキュリティへの取り組み
Sysdigの強力で洗練されたプラットフォームにより、脅威ハンティングと脆弱性の修正はこれまでになく簡単になりました。リアルタイム検知と動的な関係マッピングを可能にするグラフデータベースの組み合わせにより、比類のない可視性とコンテキストが得られ、ワークロード、ホスト、アイデンティティにまたがるイベントの相関付けを迅速に行うことができます。直感的なワークフローにより、脅威の検出から影響を受けたリソースの深掘り、攻撃チェーン全体の理解までをシームレスに進めることができます。
さらに、Sysdig Sageは、脆弱なパッケージやベースイメージの更新ごとにAIによる修正ガイダンスを自動生成することで、複雑なセキュリティタスクを簡素化し、ギャップの迅速な解消を支援します。これらの機能が組み合わさることで、脅威ハンティングと対応はより迅速に、よりスマートに、そしてより効率的になり、チームは最も重要なことである「環境の保護」に集中できるようになります。
Sysdig がクラウド環境のセキュリティをどのように強化できるかをご覧ください。今すぐパーソナライズされたデモをリクエストして、Sysdig のソリューションがお客様固有のニーズにどのように適合するかをご確認ください。