Docker社が提供するAIアシスタント「Ask Gordon」に重大なセキュリティ脆弱性が発見され、修正されました。この脆弱性は「DockerDash」と名付けられ、悪意のあるコンテナイメージのメタデータを通じて任意のコード実行やデータ流出を引き起こす可能性がありました。Docker Desktop 4.50.0で修正済みですが、影響を受けるバージョンを利用している場合は早急なアップデートが推奨されます。
この記事のポイント
- Docker DesktopとCLIに組み込まれたAIアシスタント「Ask Gordon」に重大な脆弱性が発見された
- 悪意のあるDockerイメージのラベル(メタデータ)を通じて、プロンプトインジェクション攻撃が可能だった
- Docker 4.50.0(2025年11月リリース)で修正済み
Ask Gordon AIとは何か
Ask Gordonは、Docker DesktopおよびDocker CLIに統合されたAIアシスタントです。ユーザーがDockerの操作やトラブルシューティングについて質問すると、AIが回答を生成してサポートします。コンテナの状態確認、Dockerfileの作成支援、エラーの解決策提示など、開発者の生産性向上を目的として導入されました。
このAIアシスタントは、コンテナやイメージのメタデータを読み取り、コンテキストを理解した上で回答を生成します。しかし、この「メタデータを読み取る」機能が今回の脆弱性の原因となりました。
DockerDash脆弱性の詳細
サイバーセキュリティ企業Noma Labsが発見し「DockerDash」と名付けたこの脆弱性は、コンテナメタデータの不適切な処理に起因しています。具体的には、Ask Gordon AIがイメージラベルに埋め込まれた悪意のある命令を読み取り、それをMCP(Model Context Protocol)Gatewayに転送し、検証なしで実行してしまうというものでした。
攻撃の流れ
攻撃は3つの段階で実行されます:
第1段階:悪意のあるイメージの作成
攻撃者はDockerfileのLABELフィールドに、武器化された命令を埋め込みます。これは通常のイメージ説明文のように見えますが、実際にはAIを操作するためのプロンプトインジェクション攻撃コードが含まれています。
第2段階:AIによる処理
Ask Gordonは、正当な説明文と悪意のあるコードを区別することなく、メタデータを読み取ります。AIはこれらの命令を通常のコンテキスト情報として解釈し、処理を進めます。
第3段階:コマンド実行
MCP Gatewayは、AIから転送された命令を信頼されたリクエストとして扱い、被害者のDocker権限を使用して実行します。これにより、攻撃者は被害者のシステム上で任意のコードを実行できるようになります。
技術的な根本原因
この脆弱性の根本原因は「メタコンテキストインジェクション」と呼ばれる問題です。MCP Gatewayは、標準的なDockerラベルと事前承認された内部命令を区別することができませんでした。
研究者らは次のように説明しています:「攻撃者はAIの推論プロセスを乗っ取ることができました。AIが読み取るメタデータに特別な命令を埋め込むことで、システム全体の信頼チェーンを迂回することが可能でした。」
これは、生成AIをシステムに統合する際に発生しうる新しいタイプの攻撃ベクターであり、AIの「コンテキスト理解」能力が逆手に取られた例といえます。
想定される被害
この脆弱性を悪用された場合、以下のような被害が発生する可能性がありました:
コード実行
– 侵害されたコンテナのデプロイを通じたリモートコマンド実行
– 被害者のDocker権限を使用した任意のシステム操作
– マルウェアのインストールや永続的なバックドアの設置
データ流出
– 環境変数の詳細情報の抽出
– インストールされているツールやソフトウェアの一覧取得
– ネットワークトポロジーの調査
– マウントされているディレクトリへのアクセス
特にクラウド環境やCI/CDパイプラインでDockerを使用している場合、この脆弱性の影響は深刻でした。攻撃者がビルドパイプラインに悪意のあるイメージを紛れ込ませることで、本番環境への侵入経路を確立できる可能性がありました。
修正と対策
Dockerはこの脆弱性をDocker Desktop 4.50.0(2025年11月リリース)で修正しました。Noma Labsはパッチが利用可能になった後に、責任ある開示プロセスに従って詳細を公開しました。
影響を受けるユーザーが取るべき対策
- 即座にアップデート: Docker Desktop 4.50.0以降にアップデートする
- 使用イメージの確認: 不審なサードパーティイメージを使用していないか確認する
- 信頼できるソースからのみイメージを取得: Docker Hub公式イメージや、検証済みのパブリッシャーからのイメージのみを使用する
- イメージスキャンの実施: 脆弱性スキャナーを使用して、使用中のイメージを検査する
関連する脆弱性
同じDocker 4.50.0では、別のセキュリティ企業Pillar Securityが発見した、Docker Hubリポジトリのメタデータを悪用したプロンプトインジェクション脆弱性も修正されました。これらの発見は、AIアシスタントを製品に統合する際のセキュリティ上の課題を浮き彫りにしています。
知っておくと便利なTips
- Docker Desktopのバージョンは
docker versionコマンドで確認できる - AI機能を使用しない場合でも、セキュリティパッチを含むためアップデートは重要
- コンテナイメージのラベルは
docker inspect <image>で確認可能 - CI/CD環境では、ベースイメージの固定バージョン指定とハッシュ検証が推奨される
まとめ
DockerのAIアシスタント「Ask Gordon」に発見された「DockerDash」脆弱性は、生成AIをソフトウェアに統合する際の新たなセキュリティリスクを示す重要な事例です。AIがユーザーデータやシステムメタデータにアクセスする場合、そのデータが攻撃者によって操作される可能性を常に考慮する必要があります。
Dockerは迅速に対応し、パッチをリリースしました。Docker Desktopを使用している開発者は、速やかにバージョン4.50.0以降にアップデートすることを強く推奨します。また、サードパーティのDockerイメージを使用する際は、信頼できるソースからのみ取得し、定期的なセキュリティスキャンを実施することが重要です。
📎 元記事: https://thehackernews.com/2026/02/docker-fixes-critical-ask-gordon-ai.html
コメント