Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 598

Kubernetes クラスター攻撃

Kubernetes クラスター攻撃 とは何ですか?

Kubernetes クラスター攻撃公開された API、弱い RBAC、脆弱なワークロードを悪用して Kubernetes(K8s)クラスターのコントロールプレーンやワーカーノードを掌握する攻撃。

Kubernetes クラスター攻撃は kube-apiserver、kubelet、etcd、あるいはワークロード自体を標的にし、コード実行、機密情報の窃取、クラスター乗っ取りを狙います。代表的な侵入口は、認証なしで公開された kube-apiserver、書き込み可能な kubelet ポート、脆弱な Admission Webhook、盗まれた ServiceAccount トークン、過剰権限の Pod です。初期侵入後、攻撃者は hostPath や特権コンテナによる Pod から Node への昇格、API への ServiceAccount トークン再利用、cluster-admin RoleBinding の悪用などを狙います。対策には厳格な RBAC、OIDC 認証、NetworkPolicy、FalcoTetragon などのランタイムセキュリティ、KyvernoOPA Gatekeeper といった Admission Controller、署名済みの最小コンテナイメージが含まれます。

  1. 01

    ポート 10250 で公開された Kubelet API により、ノード上の任意の Pod で任意の exec が可能になる。

  2. 02

    漏えいした ServiceAccount トークンが全 Namespace の Secret 一覧取得を可能にする。

よくある質問

Kubernetes クラスター攻撃 とは何ですか?

公開された API、弱い RBAC、脆弱なワークロードを悪用して Kubernetes(K8s)クラスターのコントロールプレーンやワーカーノードを掌握する攻撃。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

Kubernetes クラスター攻撃 とはどういう意味ですか?

公開された API、弱い RBAC、脆弱なワークロードを悪用して Kubernetes(K8s)クラスターのコントロールプレーンやワーカーノードを掌握する攻撃。

Kubernetes クラスター攻撃 はどのように機能しますか?

Kubernetes クラスター攻撃は kube-apiserver、kubelet、etcd、あるいはワークロード自体を標的にし、コード実行、機密情報の窃取、クラスター乗っ取りを狙います。代表的な侵入口は、認証なしで公開された kube-apiserver、書き込み可能な kubelet ポート、脆弱な Admission Webhook、盗まれた ServiceAccount トークン、過剰権限の Pod です。初期侵入後、攻撃者は hostPath や特権コンテナによる Pod から Node への昇格、API への ServiceAccount トークン再利用、cluster-admin RoleBinding の悪用などを狙います。対策には厳格な RBAC、OIDC 認証、NetworkPolicy、Falco や Tetragon などのランタイムセキュリティ、Kyverno や OPA Gatekeeper といった Admission Controller、署名済みの最小コンテナイメージが含まれます。

Kubernetes クラスター攻撃 からどのように防御しますか?

Kubernetes クラスター攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Kubernetes クラスター攻撃 の別名は何ですか?

一般的な別名: K8s クラスター侵害, Kubernetes 侵入。

関連用語

関連項目