概要:脆弱なMongoDBインスタンスへの継続的な攻撃
公開されているMongoDBインスタンスが、組織から少額の身代金を要求するデータ恐喝攻撃の標的にされ続けています。攻撃者は、設定ミスにより制限なくアクセスできる脆弱なデータベースを狙っており、手間の少ない「低難度の標的」に焦点を当てています。これまでに約1,400の公開サーバーが侵害され、約500ドル相当のビットコインが身代金として要求されています。
過去の攻撃と新たな発見
2021年まで活発だった数千のデータベースが削除され、身代金が要求される同様の攻撃は、最近では小規模ながらも継続していることが判明しました。サイバーセキュリティ企業Flareの研究者によるペネトレーションテストにより、この実態が明らかになりました。調査の結果、20万8,500以上のMongoDBサーバーが公に露出しており、そのうち10万が運用情報を公開し、さらに3,100が認証なしでアクセス可能であることが判明しました。
侵害の実態と攻撃者の手法
認証なしでアクセス可能なインスタンスのうち、約45.6%はFlareの調査時点で既に侵害されていました。これらのデータベースはデータが消去され、身代金要求のメモが残されていました。身代金メモの分析から、その多くが48時間以内に0.005 BTC(現在の価値で約500〜600米ドル)の支払いを要求していることが分かりました。しかし、攻撃者が実際にデータを保持しているか、支払後に復旧キーを提供する保証はないとFlareは警告しています。また、身代金メモに残されたウォレットアドレスはわずか5種類で、そのうち1つが約98%を占めていることから、単一の脅威アクターがこれらの攻撃を主導している可能性が高いと指摘されています。
セキュリティの脆弱性と推奨される対策
さらに、インターネットに露出しているMongoDBサーバーの約95,000は、n-day脆弱性を抱える古いバージョンで稼働していることが判明しました。これらの脆弱性の多くはサービス拒否攻撃につながるものですが、リモートコード実行には至りません。
Flareは、MongoDB管理者に以下のセキュリティ対策を推奨しています:
- 不要な公開を避ける:必要不可欠な場合を除き、MongoDBインスタンスをパブリックに公開しない。
- 強力な認証の利用:必ず強力な認証手段を導入する。
- ファイアウォールルールの適用:ファイアウォールルールやKubernetesネットワークポリシーを適用し、信頼できる接続のみを許可する。
- 設定の安易なコピーを避ける:デプロイガイドの構成を安易にコピーしない。
- 最新バージョンへの更新:MongoDBを常に最新バージョンに更新する。
- 継続的な監視:露出状況を継続的に監視する。
- 侵害時の対応:万一露出が発覚した場合は、資格情報をローテーションし、不正なアクティビティがないかログを調査する。