Docker outside of Docker (DooD) のセキュリティリスク：なぜ「ソケット共有」は危険なのか

• URL: https://dev.classmethod.jp/articles/risk-of-dood
• 日付: 2026-06-21
• Tier: Tier 2
• 要旨: Docker Outside of Docker（DooD）のセキュリティリスクを、Dev Containerからホストファイルへのアクセス可能性を実装例で実証。Dockerソケット共有がホストのroot権限を実質的に許可する仕組みとその対策をMac本体での検証で説明。

詳細

DooD機能でhost側の/var/run/docker.sockをコンテナにマウントするとホスト全体へのアクセスが可能に。Mac環境ではDocker DesktopがMacの/Users等をVM経由で共有しているため、コンテナからVM経由でMac本体のSSH秘密鍵・AWSクレデンシャルが読み取り可能。実装検証でdev containerからdocker run -v /Users:/mac-users:roでMacユーザーのホームディレクトリ内容を完全アクセス可能であることを確認。DooD有効化はセキュリティ緩和という導入目的を無効化する。対策として（1）本当にコンテナ内でDockerが必要か見直す、（2）ソケット共有をやめる、（3）DinD・Sysboxなど隔離保持の代替手法を検討すべき。