従来のマルウェアから「Living-off-the-Land」攻撃へ
近年、攻撃者は従来のマルウェア展開から、クラウドおよびSaaS環境における「Living-off-the-Land」オペレーションへと移行しています。彼らは、設定ミスのあるデータベースサービスを悪用し、組み込みコマンドのみを使用してデータを盗み、破壊し、または暗号化します。被害者はしばしば、データが消失またはアクセス不能になり、データベース自体に身代金要求が残されていることに気づきます。このマルウェアレスなアプローチは、孤立した事件から、世界中の露出したデータベースを狙う高度に自動化されたキャンペーンへと発展しました。
データベースランサムウェアの手口
従来のランサムウェアがファイルを暗号化するために悪意のあるペイロードを必要とするのに対し、データベースランサムウェアは「DROP」「DELETE」「EXPORT」といった正規のクエリを利用してデータをアクセス不能にします。攻撃者はインターネット上でオープンポート(MySQLの3306、PostgreSQLの5432、MongoDBの27017など)をスキャンし、脆弱な認証情報やデフォルト認証情報をテストします。認証に成功すると、データを攻撃者制御のホストに持ち出し、その後データベースをワイプし、「README_TO_RECOVER」や「RECOVER_YOUR_DATA」といった名前のテーブルやコレクションを作成して身代金要求を記載します。外部バイナリが一切インストールされないため、エンドポイントセキュリティツールでは悪意のある活動を検知できないことが多々あります。大規模なデータベースハイジャックは2017年2月には既に記録されており、今日では専門のボットが新たなホストを継続的に探索し、露出から数分以内に新たなターゲットを侵害しています。
二重恐喝と権限昇格の脅威
最近のキャンペーンでは、盗んだデータが未検証であっても、身代金が支払われない場合にデータを公開すると脅す二重恐喝戦術が採用されています。これは、ペイロードを展開することなく、より広範なランサムウェア戦略を模倣することで、被害者への圧力を増幅させます。データ恐喝を超えて、データベースの乗っ取りはリモートコード実行(RCE)への権限昇格を可能にする可能性があります。攻撃者が管理者のSQL権限を獲得すると、ストアドプロシージャやサーバー機能を悪用してシェルコマンドを実行し、他のホストへ横展開し、永続的な足場を確立する可能性があります。したがって、データベース内に残された身代金要求は、より深い侵害と長期的なデータ窃盗の可能性を示唆していることが多いのです。
予防策と対策
予防策はネットワークセグメンテーションから始まります。データベースサーバーはプライベートネットワークに配置し、ファイアウォールとセキュリティグループによって保護され、アプリケーションサーバーからのトラフィックのみを許可すべきです。データベースポートの直接的なインターネット公開は排除されなければなりません。リモート管理が必要な場合は、多要素認証(MFA)で保護された強化されたジャンプサーバーを介してアクセスをルーティングし、データベースポートを公開しないようにします。
- 認証管理: パスワードなしログインを無効化し、強力でユニークな認証情報を強制し、管理アカウントにはMFAを必須とします。デフォルトのユーザー名や脆弱なパスワードがないか、定期的に設定を監査します。
- データ損失対策: 堅牢なバックアップ戦略を実装し、頻繁なバックアップをスケジュールし、復元可能性を検証し、アーカイブは分離されたアクセス制御された場所に保存します。
- 検知と監視: データベースランサムウェアの検知には、侵害の痕跡(IOC)の継続的な監視が不可欠です。自動スキャンは、身代金要求を示唆する名前の新規テーブルやコレクションをフラグ付けすべきです。通常のメンテナンス期間外の異常な一括「DELETE」や「DROP」操作は、即座に調査が必要です。
- 攻撃対象領域のマッピング: プロアクティブな攻撃対象領域マッピングは、攻撃者による悪用前に意図しない露出をリアルタイムで特定するのに役立ちます。