私たちは、Docker Hub、GitHub、npmなど複数の配信チャネルでAqua Security Vulnerability Scanner(Trivy)を使用する顧客に影響を与えるセキュリティインシデントについてお知らせしたいと思います。1824 UTC 192026 0136 23UTC 2026 Docker Hub の顧客がTrivyイメージを0.69.4で取得した際、0.69.5,0.69.6,また、 latest タグのCI/CD秘密、クラウド認証情報、SSHキー、Docker設定が漏洩している可能性があります。08年頃、UTC00 3月23日、2026DockerはAqua Securityと協力し、これらの侵害されたスキャナー画像のバージョンを削除しました。
これらの侵害された画像をダウンロードした場合は、これらの画像を使用していないか確認し、影響を受けた認証情報をすぐに切り替えてください。この問題はアクアセキュリティの画像に限定されました。
TrivyイメージのDocker Hardened Images(DHI)バージョン、Dockerのインフラストラクチャ、その他のDocker Hubイメージは侵害されていません。
何が起こったのか
3月19日(2026 18:24 UTC)から、脅威アクターがAqua SecurityのCI/CDパイプラインを侵害し、Docker Hubの0.69.4およびlatestタグが付いたaquasec/trivy脆弱性スキャナー画像にマルウェアを押し込みました。これらのイメージに埋め込まれたインフォスティーラーは、CI/CDの秘密情報、クラウド認証情報、SSHキー、Docker設定を漏洩させる可能性があります。攻撃者は侵害された認証情報を使って、ビルドシステムを通じてAqua SecurityのAdobe Hub上にある自社リポジトリにイメージをプッシュしました。これらのプッシュはAqua Securityの認証情報を使用していたため、Docker Hubによって認証され、通常のAqua Securityの活動と区別がつきませんでした。
3月 20日、 2026 03:26 UTCに、攻撃者はAqua Securityの初期クリーンアップ後に最新のタグを侵害コンテンツに再割り当てしました。
さらに、侵害された画像の波がDocker Hubにアップロードされ、0.69.50.69.63月22日にlatestのタグが付けられました。3月のUTC 08:00 UTC 23日頃から、Dockerは侵害されたイメージを認識し、直ちに調査を開始しました。
画像は顧客によって以下の順番で削除され、Docker Hubからのさらなるダウンロードは禁止されました。
sha256:27f446230c60bbf0b70e008db798bd4f33b7826f9f76f756606f5417100beef3(0.69.4でタグ付け) 3月 19日、 2026 22:20 UTCsha256:5aaa1d7cfa9ca4649d6ffad165435c519dc836fa6e21b729a2174ad10b057d2b(0.69.5でタグ付け)3月 23日、 2026 01:26 UTCsha256:425cd3e1a2846ac73944e891250377d2b03653e6f028833e30fc00c1abbc6d33(0.69.6でタグ付け)3月 23日、 2026 1:26 UTC
3月 23日 15時UTC43 、侵害された画像の内容はDockerによって隔離され、内部調査のために利用可能となりました。DockerはAqua Securityに連絡し、画像の対応、認証取り消しの確認、調査結果の共有を依頼しました。Aqua Securityはすでにこのことを認識しており、Docker Hubからこれらのタグやイメージを削除する作業を行っていました。
最後に知られているクリーンリリースは 0.69.3年です。
変更の影響
もしあなたのシステムが 3月19 18日、:24 UTC から3月 2301日の間にaquasec/trivyを取得した場合、影響を受けるかもしれません。タグを..:36 UTC 0694に引き出した場合、0.69.5,または 0.69.6あるいは、影響を受けた期間中に latest タグを外したこともあります。
環境のチェック方法
- 侵害されたダイジェストは、地元のイメージストア、レジストリミラー、またはArtifactoryやNexusのキャッシュで探してください:
SHA256:27F446230C60BBF0B70E008DB798BD4F33B B7826F9F76F756606F5417100ビーフ3SHA256:5AAA1d c cfa79ca4649d d6FFAD165435C519DC836FA6E21B729A2174AD10b b057d2bSHA256:425CD3E1A2846AC73944E891250377D2B03653E6F028833E30FC00C1ABC6D33
- これらのダイジェストのいずれかが存在する場合は、その画像を削除し、バージョン
0.69.3が最後に確認されている良好なバージョンであることを確認してください。 - これらのダイジェストのいずれかが存在する場合は、 それらのシステムの認証情報が侵害されていると考えてください。現在の理解によれば、マルウェアの標的は以下の通りです:
- Docker レジストリトークン(
~/.docker/config.json) - クラウドプロバイダーの認証情報(AWS、GCP、Azure)
- SSHキー、Kubernetesトークン、CI/CDシークレット
- 環境変数および
.envファイル
- 侵害されたイメージを実行したシステムからアクセス可能なすべての認証情報をローテーションしてください。いくつかの一般的な Trivyコンテナ セットアップパターンではDockerソケット(
-v /var/run/docker.sock:/var/run/docker.sock)がマウントされています。これにより、コンテナはホストのDockerデーモンへの完全なアクセス権と、ノードへのルートレベルのアクセス権を実質的に得られます。もしDockerソケットをマウントしたまま、侵害されたTrivyイメージを実行した場合は、 ホスト全体を侵害されたものとして扱います。 - クリーンリリース
aquasec/trivy:0.69.3にピン留めするか、Aqua Securityの認証済み新リリースを待つかのどちらかです。
影響を受けていると思われ、支援が必要な場合は 、Dockerサポートにご連絡ください。
その他の影響を受ける方法もあります
TrivyはDocker HubイメージやGitHubを含む複数の配信チャネルで侵害されました。もし他のチャネル(GitHub Actionsなど)で消費していたなら、参考3GHSA-cxm7-wv p-598c)で消費している場合は、影響を受けているかどうか判断すべきです。
生態系への教訓
このインシデントは、コンテナイメージやCI/CDアクションの利用を改善するための学びを示しています:
可変タグはセキュリティの境界線ではありません。OCIイメージタグ( latest を含む)は、プッシュアクセス権を持つ誰でも上書きできる可変ポインタです。この攻撃が成功したのは、 latest タグが何度も悪意のあるコンテンツに無言で再割り当てされたからです。組織はタグだけに頼らず、プロダクションやCI/CDパイプラインで ダイジェスト( image@sha:...)で画像をピン留256 めるべきです。ダイジェストピンニングだけでは十分ではありません。ピン留めされたダイジェストは毎回同じバイトを引き出すことを保証します。そのバイトが既知のソースから信頼できる第三者によって構築されたかどうかはわかりません。署名済みの出所証明書が利用可能な場合、組織は単にダイジェストを一致させるのではなく、それらを検証すべきです。
サプライチェーンの健全性にはスキャン以上のものが必要です。Trivyは脆弱性スキャナーであり、サプライチェーンのセキュリティ向上のために組織が導入するツールです。この侵害はCVEの意味での脆弱性とは関係ありませんでした。Trivyのコードベースではソフトウェアのバグは悪用されませんでした。攻撃者は公開認証情報を盗み、それを使って信頼できる配信チャネルを通じて悪意のあるコンテンツを配信しました。スキャナーが破損した画像を調査しても、攻撃は依存関係グラフではなく公開プロセスにあったため、フラグを立てる理由はありませんでした。スキャンは画像コンテンツの既知の脆弱性を教えてくれます。信頼する相手がイメージを作成したかどうか、期待するソースから作ったものかどうかは教えてくれません。
秘密の回転は原子的でなければなりません。侵害された場合は、すべての資格情報を同時に取り消してから交換を発行してください。部分的な回転は再利用の隙間を生むことがあります。
Dockerがインシデント対応を超えて行っていること
この攻撃を可能にした特性、例えば可変な参照、検証不能な出所、ビルドシステムではなく認証情報に基づく信頼など、これらはすべて私たちが取り組んでいる問題です。この件に関しては、その作業が適用される点がここにあります。
Docker Hardened Images(DHI): Trivyの侵害が可能だったのは、単一の盗まれたプッシュトークンが攻撃者に公開レジストリ上の信頼されたイメージタグを上書きする能力を与えたからです。Docker Hardened Imagesカタログ内の画像については、この攻撃クラスは適用されません。Dockerは、上流のバイナリを引いて再公開するのではなく、ハーメティックビルド環境でこれらのイメージを再構築します。各画像には署名入りの出所証明書が付されており、消費者が誰がいつ、どのソースで作られたかを確認できます。侵害が判明した際、私たちのチームはTrivyのDHIビルドをロックし、侵害された上流リリースへの自動更新を防ぎました。露出は、Docker Hubから直接aquasecやtrivyを取得したユーザーに限られていました。
Docker Scout: Scoutは、上記の3つの侵害されたダイジェストのいずれかが、レジストリミラーや露出ウィンドウ中に取得されたコピーを保持している可能性のあるアーティファクトキャッシュなど、リポジトリ全体に存在しているかどうかを検出できます。
その他のリソース
アクアは また、aquasec.com/blog 年に独自のインシデントレポートも発表しています。
