「Elasticsearch」狙うランサム攻撃増加、研究者ら報告--「MongoDB」攻撃と同様の手法

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部 2017年01月17日 11時36分

  • このエントリーをはてなブックマークに追加

 オープンソースのマルチテナント対応全文検索エンジン「Elasticsearch」に対するランサムウェア攻撃がこのところ急増しており、数百ものインスタンスがデータ消去の憂き目に遭っているという。その手法は、2017年に入って「MongoDB」データベースを襲った攻撃と同様に、貧弱な設定につけ込むというもののようだ。

 攻撃者はElasticsearchが稼働しているサーバにアクセスし、データを削除したうえで、データ返却の条件として身代金を要求する。識者らは、こうした攻撃から身を守れるよう、Elasticsearchが稼働しているサーバをウェブ上から隠ぺいするよう警告している。

 The Registerが最初に報じたところによると、被害に遭ったElasticsearchインスタンスは360にのぼるという。また、MongoDBに対する攻撃を追跡したセキュリティ研究者のNiall Merrigan氏は、さらにその数が増加していると報告している。それらほとんどのインスタンスは米国でホストされているが、中国や欧州、シンガポールでホストされているものもあるという。

 Elasticsearchインスタンスに対する攻撃が、MongoDBに対する大規模攻撃と同じパターンで推移するのであれば、その数は急増する可能性がある。検索エンジンを手がけるShodanの創業者であるJohn Matherly氏は、インターネット上で公開されているElasticsearchサーバを12日時点で3万5000台確認しており、そのほとんどは「Amazon Web Services」(AWS)インフラ上でホストされているとしている。

 Matherly氏は、9万9000のMongoDBデータベースがインターネット上で公開されていると推定している。またMerrigan氏は1月12日の時点で、3万4000台のMongoDBサーバが攻撃を受けた結果、失われたデータは数百テラバイトにも及ぶとしている。

 MongoDBの場合、内容が身代金要求に置き換えられていたデータベースは1月3日時点でわずか2000だった。ここで特筆すべきなのは、身代金と引き替えに返却するとされていた消去データが、実際にはコピーされていなかったという点だ。

 ElasticsearchのコンサルタントであるItamar Syn-Hershko氏は、こういった身代金要求攻撃の被害者にならないようにするための、Elasticsearchクラスタの詳細な設定方法を公開している。

 攻撃を受けたElasticsearchインスタンスの所有者は、0.2ビットコイン(約160ドル)の支払いを要求するメッセージを目にすることになる。


提供:Itamar Syn-Hershko

 Syn-Hershko氏は、「何をするにせよ、クラスタノードをウェブ上で公開してはいけない。これは当たり前の話に思えるかもしれないが、皆が守っているわけでないのは明らかだ。自らのクラスタは絶対にウェブ上で公開してはいけない」と警告している。

 ElasticのエンジニアリングチームのMike Paquette氏は、ランサム攻撃からElasticsearchを保護する手段について記したブログを公開している。

 AWSでホストされた、Elasticが管理しているバージョンのElasticsearchは、デフォルトで保護されているが、Elasticsearch自体は認証などを行っていないため、信用できないユーザーがアクセス可能になっている場合は、適切に設定する必要がある。

 Elasticは「安全な状態ではないElasticsearchのインスタンスはインターネットに直接公開するべきではないと強く呼びかけている」とPaquette氏は述べた。

 Elasticは、同社が管理していないElasticsearchクラスタについて、以下の対処を実施するよう推奨している。

  • すべてのデータを安全な場所にバックアップするとともに、「Curator」によるスナップショットの取得を検討する。
  • Elasticsearchを、ルーティングが不能な隔離されたネットワーク上で稼働させるよう、環境を再設定する。
  • Elasticsearchクラスタにインターネット経由でアクセスする必要がある場合、ファイアウォールやVPN、リバースプロキシといったテクノロジを用いて、インターネットから同クラスタへのアクセスを制限する。

提供:Niall Merrigan/Twitter

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]