サイバーニュース.jp

世界のサイバーなニュースを配信

MongoDBを狙うランサムウェア攻撃が再燃、不適切な設定が悪用されデータベースが削除される

カテゴリ:

概要:MongoDBランサムウェアキャンペーンが再燃

設定が不適切にされたMongoDBデータベースを標的とする広範囲なランサムウェアキャンペーンが、依然として世界中で数千のサーバーを侵害し続けています。攻撃者は、基本的な認証制御を欠いたインターネットに公開されているインスタンスを悪用しています。近年の調査により、日和見的な脅威アクターが自動化されたスクリプトを駆使し、データベースを消去してビットコインによる身代金を要求していることが明らかになりました。これにより、設定上の過失が大規模な恐喝作戦に利用されています。

長年の沈黙を破り、攻撃が再浮上

2017年から2021年の間に、MongoDBランサムウェアキャンペーンは世界中の数千の組織に影響を与えました。その後の数年間で報告は減少しましたが、最近の調査では脅威が消滅していなかったことが示されています。2025年後半、セキュリティ研究者は、認証なしでMongoDBインスタンスを公開したハニーポットインフラを複数の地理的ロケーションに展開しました。数日以内に、すべてのハニーポットサーバーで約500米ドル相当のビットコインを要求する身代金メモが確認され、攻撃パターンが依然として活発かつ自動化されていることが裏付けられました。この再燃は、中小企業における2つの侵害されたMongoDBインスタンスのペネトレーションテストでも強調され、両方から身代金メモが発見されました。この発見は、現在の脅威ランドスケープを深く調査するきっかけとなり、チュートリアル、コンテナイメージ、インフラテンプレート全体で安全でないデプロイメント慣行が依然として存在しているという証拠が明らかになりました。

攻撃手法:シンプルな脆弱性悪用

MongoDBランサムウェア攻撃は、認証なしでデプロイされたインターネットに公開されたデータベースという、シンプルだが決定的な脆弱性を悪用しています。自動スキャンツールは、あらゆるIPアドレスからの接続を受け入れるMongoDBサービス(ポート27017でリッスン)を特定します。発見後、攻撃者は以下の4段階の簡単なプロセスを実行します。

  • 脅威アクターは、まず大規模なインターネットスキャンを通じて脆弱なMongoDBインスタンスを特定します。
  • 次に、データベースの内容を自身のシステムにエクスポートまたはコピーします。
  • 第三に、被害者サーバー上のすべてのコレクションとデータベースを完全に消去します。
  • 最後に、攻撃者は身代金メモを含む新しいコレクションを挿入し、48時間以内にビットコインでの支払いを要求します。応じない場合はデータの永久的な損失を脅します。

セキュリティ専門家は、身代金の支払いを強く推奨していません。応じた被害者も、何も返還されなかったと報告することが頻繁にあります。多くの場合、攻撃者は盗んだデータのコピーを実際には保持しておらず、支払いに関わらず復旧は不可能となります。

Shodanスキャンで明らかになった大規模な露出

インターネット接続デバイス検索エンジンであるShodanを用いた分析では、200,000を超える公開されているMongoDBサーバーが特定されました。これらのうち、100,000以上のインスタンスが運用情報を開示しており、3,100のサーバーがアクセス制限や認証要件なしで完全に公開されていました。

完全に公開された3,100台のサーバーのうち、1,416台(45.6%)のインスタンスがすでに侵害され、データベースが消去されて身代金メモに置き換えられていました。ほぼすべてのインシデントで、約500米ドルのビットコインが要求されました。特筆すべきは、すべての攻撃で観測されたビットコインウォレットがわずか5つであったことです。そのうち1つのウォレットアドレス(bc1qe2l4ffmsqfdu43d7n76hp2ksmhclt5g9krx3du)が98%以上のケースで存在しており、単一の主要な脅威アクターの存在を強く示唆しています。公開されたサーバーと侵害されたインスタンスとの間の不一致は、残りの1,684システムに関する疑問を提起します。これらの一部はテスト環境またはオフラインにされたシステムである可能性があります。一方、他のシステムは身代金を支払ったため、侵害の目に見える証拠が残っていない可能性もあります。たとえ一部しか支払われなかったとしても、このキャンペーンの収益はゼロから約842,000米ドルに及ぶ可能性があります。

脅威インテリジェンスと不安全な設定の拡散

脅威インテリジェンスの収集により、ダークウェブフォーラムやTorウェブサイトでアクティブなMongoDBランサムウェアチュートリアルが流布していることが明らかになりました。2025年に発見されたあるチュートリアルは、技術的な専門知識を必要とせず攻撃が可能であると明示的に宣伝しており、「毎日安定した現金を稼ぐことができる」と主張していました。このチュートリアルでは、企業がMongoDBとその管理インターフェースであるMongo Expressをパスワードなしでオンラインに公開したままにしていることが多い状況を詳細に説明する、ステップバイステップの指示が提供されていました。このガイドは、この方法が「コピー、ペースト、クリックができれば十分」という基本的なコンピュータスキルのみを必要とすると強調し、サイバー犯罪を志す者にとっての参入障壁を下げています。

Flareのセキュリティ研究者は、Docker HubとGitHubのリポジトリも分析し、認証なしでデータベースをすべてのネットワークインターフェース(0.0.0.0)にバインドする安全でないMongoDB設定を含む763のコンテナイメージを特定しました。これらのイメージは、3か月にわたって30の異なるネームスペースにわたっており、2つの広く使用されているプロジェクトはそれぞれ15,000を超えるプル数を記録していました。この配布メカニズムにより、安全でない設定がコピー&ペーストのデプロイメント慣行を通じて急速に広がる可能性があります。さらに、公開されたMongoDB認証情報を検索したところ、17,909件の潜在的な結果が得られ、そのうち約半数が攻撃者が悪用できる有効な認証情報として検証されました。これらの認証情報は、コーディングリポジトリ(GitHub、Docker Hub)、ダークウェブフォーラム、ペーストサイト、データ侵害データベースで確認されました。

MITRE ATT&CKフレームワークへのマッピング

MongoDBランサムウェアキャンペーンは、その技術的な単純さにもかかわらず、MITRE ATT&CKフレームワークに沿った完全な攻撃ライフサイクルを示しています。

  • 初期アクセス (T1190: 公開アプリケーションの悪用): 認証なしで公開されたMongoDBに接続します。
  • 発見 (T1046: ネットワークサービス発見): 開いているMongoDBポート27017のIP範囲をスキャンします。
  • 発見 (T1087: アカウント発見): データベースとコレクションを列挙します。
  • 収集 (T1213: 情報リポジトリからのデータ): データベースをダンプして価値を評価します。
  • 影響 (T1485: データ破壊): コレクションとデータベースをドロップ/消去します。
  • 影響 (T1489: サービス停止): ビジネス運用を停止させます。
  • 影響 (T1657: 恐喝): ビットコイン支払いを要求する身代金メモを挿入します。

特筆すべきは、この攻撃が特権昇格、ラテラルムーブメント、またはマルウェアの展開を必要としないことです。攻撃者は、安全でないデフォルト設定によって付与された権限内で完全に操作するため、検出が困難であり、予防措置よりも事後対応に有利です。

元記事: https://gbhackers.com/hackers-target-mongodb-instances/

投稿をさらに読み込む