◆概要
2025 年 8 月に、Windows 版の Docker Desktop にてコンテナからホスト OS の侵害が可能となる脆弱性が報告されています。脆弱な Docker Desktop で作成されたコンテナのいずれかへの侵入に成功した攻撃者は、当該脆弱性を悪用してホスト OS の侵害が可能となります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
本記事の検証では、攻撃の起点となるコンテナを管理者権限で操作していますが、脆弱な Docker Desktop で作成されたコンテナへの侵入に成功していれば管理者権限でなくても当該脆弱性を悪用できます。Docker における一般的な正規の操作方法で容易に悪用可能な脆弱性であるため、攻撃者が悪用を試みる可能性が高いと考えられます。Windows にて Docker Desktop を利用している場合、早急な対策を推奨します。
◆深刻度(CVSS)
[CVSS v4.0]
9.3
https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator?name=CVE-2025-9074&vector=AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H&version=4.0&source=Docker%20Inc.
◆影響を受けるソフトウェア
Windows 版 Docker Desktop のバージョン 4.44.3 未満が当該脆弱性の影響を受けると報告されています。
◆解説
コンテナ環境構築ソフトウェアとして世界的に利用されている Docker Deskop にて、ホスト OS の侵害が可能となる脆弱性が報告されています。
脆弱性は Windows 版の Docker Desktop にのみ存在するものです。脆弱性が存在する Windows 版の Docker Desktop では、コンテナネットワーク内の固定 IP アドレス 192.168.65.7 にて、TLS による通信制限がかけられていない Docker Remote API サーバーが稼働します。脆弱な Docker Desktop で作成されたコンテナへの侵入に成功した攻撃者は、ホスト OS の任意のディレクトリをマウントしたコンテナの作成を Docker Remote API サーバーに指示できるため、コンテナ環境からホスト OS の侵害が可能となります。
◆対策
Windows 版 Docker Desktop のバージョンを 4.44.3 またはそれよりも新しいバージョンにアップデートしてください。
◆関連情報
[1] Docker 公式
https://docs.docker.com/desktop/release-notes/#4443
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-9074
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-9074
◆エクスプロイト
以下の Web サイトにて、当該脆弱性の悪用手順が公開されています。
Qwerty Security
https://blog.qwertysecurity.com/Articles/blog3
#--- で始まる行は執筆者によるコメントです。
2025 年 8 月に、Windows 版の Docker Desktop にてコンテナからホスト OS の侵害が可能となる脆弱性が報告されています。脆弱な Docker Desktop で作成されたコンテナのいずれかへの侵入に成功した攻撃者は、当該脆弱性を悪用してホスト OS の侵害が可能となります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
本記事の検証では、攻撃の起点となるコンテナを管理者権限で操作していますが、脆弱な Docker Desktop で作成されたコンテナへの侵入に成功していれば管理者権限でなくても当該脆弱性を悪用できます。Docker における一般的な正規の操作方法で容易に悪用可能な脆弱性であるため、攻撃者が悪用を試みる可能性が高いと考えられます。Windows にて Docker Desktop を利用している場合、早急な対策を推奨します。
◆深刻度(CVSS)
[CVSS v4.0]
9.3
https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator?name=CVE-2025-9074&vector=AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H&version=4.0&source=Docker%20Inc.
◆影響を受けるソフトウェア
Windows 版 Docker Desktop のバージョン 4.44.3 未満が当該脆弱性の影響を受けると報告されています。
◆解説
コンテナ環境構築ソフトウェアとして世界的に利用されている Docker Deskop にて、ホスト OS の侵害が可能となる脆弱性が報告されています。
脆弱性は Windows 版の Docker Desktop にのみ存在するものです。脆弱性が存在する Windows 版の Docker Desktop では、コンテナネットワーク内の固定 IP アドレス 192.168.65.7 にて、TLS による通信制限がかけられていない Docker Remote API サーバーが稼働します。脆弱な Docker Desktop で作成されたコンテナへの侵入に成功した攻撃者は、ホスト OS の任意のディレクトリをマウントしたコンテナの作成を Docker Remote API サーバーに指示できるため、コンテナ環境からホスト OS の侵害が可能となります。
◆対策
Windows 版 Docker Desktop のバージョンを 4.44.3 またはそれよりも新しいバージョンにアップデートしてください。
◆関連情報
[1] Docker 公式
https://docs.docker.com/desktop/release-notes/#4443
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-9074
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-9074
◆エクスプロイト
以下の Web サイトにて、当該脆弱性の悪用手順が公開されています。
Qwerty Security
https://blog.qwertysecurity.com/Articles/blog3
#--- で始まる行は執筆者によるコメントです。
