MongoDBデータベースを適切に保護せずインターネットに公開している組織が、自動化されたデータ恐喝攻撃の標的となっています。攻撃者は露出したインスタンスからデータを窃取し、少額の身代金を要求するという手口で、長年にわたり被害が報告されています。本記事では、この脅威の詳細と対策について解説します。
この記事のポイント
- 認証なしで公開されているMongoDBインスタンスが自動スキャンで発見され、データ恐喝の標的となっている
- 攻撃者はデータを削除または暗号化し、復元と引き換えに少額(数百ドル程度)の身代金を要求
- この種の攻撃は2017年頃から継続しており、適切な設定と認証の重要性が改めて浮き彫りに
攻撃の手口と背景
この攻撃キャンペーンでは、脅威アクターがインターネット上で認証なしにアクセス可能なMongoDBインスタンスを自動的にスキャンしています。発見されたデータベースに対して、攻撃者はデータを窃取した上で削除し、身代金メモを残します。要求される金額は比較的少額で、多くの場合数百ドル程度のビットコインでの支払いを求められます。
この種の攻撃は「MongoDB Apocalypse」とも呼ばれ、2017年に大規模な被害が報告されて以来、継続的に発生しています。当時は数万のデータベースが影響を受け、その後も定期的に同様の攻撃波が観測されています。攻撃者は完全に自動化されたツールを使用しているため、脆弱な設定のインスタンスは発見後すぐに攻撃対象となります。
被害の実態と影響範囲
セキュリティ研究者の調査によると、現在もインターネット上には認証なしでアクセス可能なMongoDBインスタンスが数万単位で存在しています。これらの多くは開発環境やテスト環境として設定されたものですが、中には本番データを含むものも少なくありません。
被害を受けた組織の中には、身代金を支払ってもデータが復元されないケースも報告されています。攻撃者がデータのバックアップを取らずに単に削除しているケースや、複数の攻撃者が同じターゲットを狙った結果、データが既に失われているケースがあるためです。このため、セキュリティ専門家は身代金の支払いを推奨していません。
MongoDBインスタンスを保護するための対策
MongoDBインスタンスを安全に運用するためには、いくつかの重要な対策を講じる必要があります。まず最も基本的な対策として、認証を必ず有効にすることが挙げられます。MongoDBはデフォルトでは認証なしで起動するバージョンもあるため、明示的に認証を設定する必要があります。
また、データベースをインターネットに直接公開しないことも重要です。ファイアウォールを使用してアクセスを制限し、必要な場合はVPNやSSHトンネルを経由してアクセスする構成にすべきです。クラウド環境では、セキュリティグループやネットワークACLを適切に設定することで、不要なアクセスを遮断できます。
知っておくと便利なTips
- MongoDBの設定ファイル(mongod.conf)でbindIpを127.0.0.1に設定し、外部からの直接アクセスを防ぐ
- 定期的なバックアップを実施し、オフラインまたは別のセキュアな場所に保管する
- Shodan等のスキャンサービスを使用して、自組織のインスタンスが露出していないか定期的に確認する
- MongoDBのアクセスログを監視し、不審なアクセスを早期に検知する体制を整える
まとめ
MongoDBの露出インスタンスを狙ったデータ恐喝攻撃は、技術的には単純な手口ながら、適切な設定を怠った組織に対して依然として有効な攻撃となっています。この脅威から身を守るためには、認証の有効化、ネットワークアクセスの制限、定期的なバックアップという基本的なセキュリティ対策を確実に実施することが不可欠です。特にクラウド環境やコンテナ環境では、デフォルト設定のまま運用を開始してしまうリスクがあるため、デプロイ前のセキュリティチェックリストを用意しておくことをお勧めします。身代金を支払ってもデータが復元される保証はないため、予防と備えこそが最善の対策となります。
コメント