編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

「Elasticsearch」狙うランサム攻撃増加、研究者ら報告--「MongoDB」攻撃と同様の手法

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2017-01-17 11:36

 オープンソースのマルチテナント対応全文検索エンジン「Elasticsearch」に対するランサムウェア攻撃がこのところ急増しており、数百ものインスタンスがデータ消去の憂き目に遭っているという。その手法は、2017年に入って「MongoDB」データベースを襲った攻撃と同様に、貧弱な設定につけ込むというもののようだ。

 攻撃者はElasticsearchが稼働しているサーバにアクセスし、データを削除したうえで、データ返却の条件として身代金を要求する。識者らは、こうした攻撃から身を守れるよう、Elasticsearchが稼働しているサーバをウェブ上から隠ぺいするよう警告している。

 The Registerが最初に報じたところによると、被害に遭ったElasticsearchインスタンスは360にのぼるという。また、MongoDBに対する攻撃を追跡したセキュリティ研究者のNiall Merrigan氏は、さらにその数が増加していると報告している。それらほとんどのインスタンスは米国でホストされているが、中国や欧州、シンガポールでホストされているものもあるという。

 Elasticsearchインスタンスに対する攻撃が、MongoDBに対する大規模攻撃と同じパターンで推移するのであれば、その数は急増する可能性がある。検索エンジンを手がけるShodanの創業者であるJohn Matherly氏は、インターネット上で公開されているElasticsearchサーバを12日時点で3万5000台確認しており、そのほとんどは「Amazon Web Services」(AWS)インフラ上でホストされているとしている。

 Matherly氏は、9万9000のMongoDBデータベースがインターネット上で公開されていると推定している。またMerrigan氏は1月12日の時点で、3万4000台のMongoDBサーバが攻撃を受けた結果、失われたデータは数百テラバイトにも及ぶとしている。

 MongoDBの場合、内容が身代金要求に置き換えられていたデータベースは1月3日時点でわずか2000だった。ここで特筆すべきなのは、身代金と引き替えに返却するとされていた消去データが、実際にはコピーされていなかったという点だ。

 ElasticsearchのコンサルタントであるItamar Syn-Hershko氏は、こういった身代金要求攻撃の被害者にならないようにするための、Elasticsearchクラスタの詳細な設定方法を公開している。

 攻撃を受けたElasticsearchインスタンスの所有者は、0.2ビットコイン(約160ドル)の支払いを要求するメッセージを目にすることになる。


提供:Itamar Syn-Hershko

 Syn-Hershko氏は、「何をするにせよ、クラスタノードをウェブ上で公開してはいけない。これは当たり前の話に思えるかもしれないが、皆が守っているわけでないのは明らかだ。自らのクラスタは絶対にウェブ上で公開してはいけない」と警告している。

 ElasticのエンジニアリングチームのMike Paquette氏は、ランサム攻撃からElasticsearchを保護する手段について記したブログを公開している。

 AWSでホストされた、Elasticが管理しているバージョンのElasticsearchは、デフォルトで保護されているが、Elasticsearch自体は認証などを行っていないため、信用できないユーザーがアクセス可能になっている場合は、適切に設定する必要がある。

 Elasticは「安全な状態ではないElasticsearchのインスタンスはインターネットに直接公開するべきではないと強く呼びかけている」とPaquette氏は述べた。

 Elasticは、同社が管理していないElasticsearchクラスタについて、以下の対処を実施するよう推奨している。

  • すべてのデータを安全な場所にバックアップするとともに、「Curator」によるスナップショットの取得を検討する。
  • Elasticsearchを、ルーティングが不能な隔離されたネットワーク上で稼働させるよう、環境を再設定する。
  • Elasticsearchクラスタにインターネット経由でアクセスする必要がある場合、ファイアウォールやVPN、リバースプロキシといったテクノロジを用いて、インターネットから同クラスタへのアクセスを制限する。

提供:Niall Merrigan/Twitter

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]