「Elasticsearch」狙うランサム攻撃増加、研究者ら報告--「MongoDB」攻撃と同様の手法

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2017-01-17 11:36

 オープンソースのマルチテナント対応全文検索エンジン「Elasticsearch」に対するランサムウェア攻撃がこのところ急増しており、数百ものインスタンスがデータ消去の憂き目に遭っているという。その手法は、2017年に入って「MongoDB」データベースを襲った攻撃と同様に、貧弱な設定につけ込むというもののようだ。

 攻撃者はElasticsearchが稼働しているサーバにアクセスし、データを削除したうえで、データ返却の条件として身代金を要求する。識者らは、こうした攻撃から身を守れるよう、Elasticsearchが稼働しているサーバをウェブ上から隠ぺいするよう警告している。

 The Registerが最初に報じたところによると、被害に遭ったElasticsearchインスタンスは360にのぼるという。また、MongoDBに対する攻撃を追跡したセキュリティ研究者のNiall Merrigan氏は、さらにその数が増加していると報告している。それらほとんどのインスタンスは米国でホストされているが、中国や欧州、シンガポールでホストされているものもあるという。

 Elasticsearchインスタンスに対する攻撃が、MongoDBに対する大規模攻撃と同じパターンで推移するのであれば、その数は急増する可能性がある。検索エンジンを手がけるShodanの創業者であるJohn Matherly氏は、インターネット上で公開されているElasticsearchサーバを12日時点で3万5000台確認しており、そのほとんどは「Amazon Web Services」(AWS)インフラ上でホストされているとしている。

 Matherly氏は、9万9000のMongoDBデータベースがインターネット上で公開されていると推定している。またMerrigan氏は1月12日の時点で、3万4000台のMongoDBサーバが攻撃を受けた結果、失われたデータは数百テラバイトにも及ぶとしている。

 MongoDBの場合、内容が身代金要求に置き換えられていたデータベースは1月3日時点でわずか2000だった。ここで特筆すべきなのは、身代金と引き替えに返却するとされていた消去データが、実際にはコピーされていなかったという点だ。

 ElasticsearchのコンサルタントであるItamar Syn-Hershko氏は、こういった身代金要求攻撃の被害者にならないようにするための、Elasticsearchクラスタの詳細な設定方法を公開している。

 攻撃を受けたElasticsearchインスタンスの所有者は、0.2ビットコイン(約160ドル)の支払いを要求するメッセージを目にすることになる。


提供:Itamar Syn-Hershko

 Syn-Hershko氏は、「何をするにせよ、クラスタノードをウェブ上で公開してはいけない。これは当たり前の話に思えるかもしれないが、皆が守っているわけでないのは明らかだ。自らのクラスタは絶対にウェブ上で公開してはいけない」と警告している。

 ElasticのエンジニアリングチームのMike Paquette氏は、ランサム攻撃からElasticsearchを保護する手段について記したブログを公開している。

 AWSでホストされた、Elasticが管理しているバージョンのElasticsearchは、デフォルトで保護されているが、Elasticsearch自体は認証などを行っていないため、信用できないユーザーがアクセス可能になっている場合は、適切に設定する必要がある。

 Elasticは「安全な状態ではないElasticsearchのインスタンスはインターネットに直接公開するべきではないと強く呼びかけている」とPaquette氏は述べた。

 Elasticは、同社が管理していないElasticsearchクラスタについて、以下の対処を実施するよう推奨している。

  • すべてのデータを安全な場所にバックアップするとともに、「Curator」によるスナップショットの取得を検討する。
  • Elasticsearchを、ルーティングが不能な隔離されたネットワーク上で稼働させるよう、環境を再設定する。
  • Elasticsearchクラスタにインターネット経由でアクセスする必要がある場合、ファイアウォールやVPN、リバースプロキシといったテクノロジを用いて、インターネットから同クラスタへのアクセスを制限する。

提供:Niall Merrigan/Twitter

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]