「MongoDB」狙うランサムウェア攻撃で2万7000超のデータベースが被害に--研究者ら報告

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2017-01-10 10:57

 貧弱な設定のままで運用されている「MongoDB」データベースに侵入し、データを消去したうえで、復元料として最高1ビットコインを要求する攻撃が相次いでいる。その数はここ1週間で数万に及んでいるという。

 オランダに拠点を置くGDI Foundationの共同創設者であるVictor Gevers氏と、ノルウェーに拠点を置く開発者のNiall Merrigan氏は、MongoDBに対する攻撃の急増を追跡してきている。この攻撃は、複数のグループによって実行されており、標的となるデータベースの内容を消去し、「WARNING」(警告)や「PWNED」(制圧済み)、「PLEASE_READ」(必読)といった名称の空のデータベースで置き換えるというものだ。

 攻撃者らはデータベースの内容をコピーしており、0.2~1ビットコインを支払えば取り戻せると主張しているが、身代金を支払ったとしてもデータを実際に取り戻せる保証はない。

 Merrigan氏によると、被害を受けたMongoDBの数はここ数日で2万7000あまりに達しており、1月3日時点の推定である2000や、1月5日時点の8542から急増しているという。

 MongoDBはオープンソースのNoSQLデータベースとして、ビッグデータやアナリティクスといった目的で広く利用されている。DB-Enginesが公表しているデータベース人気ランキングでも、同DBは315データベース中、4位となっている。

 現時点では、インターネット経由でのアクセスが可能なMongoDBインスタンス9万9000のうち、4分の1以上が既に被害を受けている。

 攻撃者らは、簡単に攻撃できる標的、すなわち管理者アカウントがパスワードで保護されていないMongoDBのインスタンスに狙いを定めている。

 こうした攻撃が急増したのは、同じ手口を使うグループが一気に増えたためである可能性がある。最初に報告された攻撃は12月半ばに発生しており、Harak1r1という名前を使う何者かが身代金を受け取ったとされている。

 Gevers氏とMerrigan氏が管理、公開しているGoogleスプレッドシートによると、現在20近くのグループが独自の電子メールアドレスとビットコインアドレスを使って活動しているという。最も活発に攻撃しているのはKraken0であり、1万5000を超えるデータベースを攻撃し、消去したデータの復元に1ビットコインを要求している。

 Gevers氏とMerrigan氏は、今回の攻撃を受けた100を超える組織を支援してきていると述べている。

 Merrigan氏は、IT関連のヘルプサイトを運営するBleeping Computerに対して、MongoDBに対する今回の攻撃は「ゴールドラッシュ」の状態であり、さまざまなグループが(データベース上の)身代金要求メモを上書きしあっていると語っている。

 MongoDBの製品セキュリティディレクターAndreas Nilsson氏は、この攻撃を防ぐために管理者がとれる一連の手段を公開するとともに、ほとんどの身代金攻撃を無力化するうえで、データのバックアップが重要だと強調している。


提供:Victor Gevers/Twitter

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]