「Elasticsearch」狙うランサム攻撃増加、研究者ら報告--「MongoDB」攻撃と同様の手法

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2017-01-17 11:36

 オープンソースのマルチテナント対応全文検索エンジン「Elasticsearch」に対するランサムウェア攻撃がこのところ急増しており、数百ものインスタンスがデータ消去の憂き目に遭っているという。その手法は、2017年に入って「MongoDB」データベースを襲った攻撃と同様に、貧弱な設定につけ込むというもののようだ。

 攻撃者はElasticsearchが稼働しているサーバにアクセスし、データを削除したうえで、データ返却の条件として身代金を要求する。識者らは、こうした攻撃から身を守れるよう、Elasticsearchが稼働しているサーバをウェブ上から隠ぺいするよう警告している。

 The Registerが最初に報じたところによると、被害に遭ったElasticsearchインスタンスは360にのぼるという。また、MongoDBに対する攻撃を追跡したセキュリティ研究者のNiall Merrigan氏は、さらにその数が増加していると報告している。それらほとんどのインスタンスは米国でホストされているが、中国や欧州、シンガポールでホストされているものもあるという。

 Elasticsearchインスタンスに対する攻撃が、MongoDBに対する大規模攻撃と同じパターンで推移するのであれば、その数は急増する可能性がある。検索エンジンを手がけるShodanの創業者であるJohn Matherly氏は、インターネット上で公開されているElasticsearchサーバを12日時点で3万5000台確認しており、そのほとんどは「Amazon Web Services」(AWS)インフラ上でホストされているとしている。

 Matherly氏は、9万9000のMongoDBデータベースがインターネット上で公開されていると推定している。またMerrigan氏は1月12日の時点で、3万4000台のMongoDBサーバが攻撃を受けた結果、失われたデータは数百テラバイトにも及ぶとしている。

 MongoDBの場合、内容が身代金要求に置き換えられていたデータベースは1月3日時点でわずか2000だった。ここで特筆すべきなのは、身代金と引き替えに返却するとされていた消去データが、実際にはコピーされていなかったという点だ。

 ElasticsearchのコンサルタントであるItamar Syn-Hershko氏は、こういった身代金要求攻撃の被害者にならないようにするための、Elasticsearchクラスタの詳細な設定方法を公開している。

 攻撃を受けたElasticsearchインスタンスの所有者は、0.2ビットコイン(約160ドル)の支払いを要求するメッセージを目にすることになる。


提供:Itamar Syn-Hershko

 Syn-Hershko氏は、「何をするにせよ、クラスタノードをウェブ上で公開してはいけない。これは当たり前の話に思えるかもしれないが、皆が守っているわけでないのは明らかだ。自らのクラスタは絶対にウェブ上で公開してはいけない」と警告している。

 ElasticのエンジニアリングチームのMike Paquette氏は、ランサム攻撃からElasticsearchを保護する手段について記したブログを公開している。

 AWSでホストされた、Elasticが管理しているバージョンのElasticsearchは、デフォルトで保護されているが、Elasticsearch自体は認証などを行っていないため、信用できないユーザーがアクセス可能になっている場合は、適切に設定する必要がある。

 Elasticは「安全な状態ではないElasticsearchのインスタンスはインターネットに直接公開するべきではないと強く呼びかけている」とPaquette氏は述べた。

 Elasticは、同社が管理していないElasticsearchクラスタについて、以下の対処を実施するよう推奨している。

  • すべてのデータを安全な場所にバックアップするとともに、「Curator」によるスナップショットの取得を検討する。
  • Elasticsearchを、ルーティングが不能な隔離されたネットワーク上で稼働させるよう、環境を再設定する。
  • Elasticsearchクラスタにインターネット経由でアクセスする必要がある場合、ファイアウォールやVPN、リバースプロキシといったテクノロジを用いて、インターネットから同クラスタへのアクセスを制限する。

提供:Niall Merrigan/Twitter

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]