オープンソースのマルチテナント対応全文検索エンジン「Elasticsearch」に対するランサムウェア攻撃がこのところ急増しており、数百ものインスタンスがデータ消去の憂き目に遭っているという。その手法は、2017年に入って「MongoDB」データベースを襲った攻撃と同様に、貧弱な設定につけ込むというもののようだ。
攻撃者はElasticsearchが稼働しているサーバにアクセスし、データを削除したうえで、データ返却の条件として身代金を要求する。識者らは、こうした攻撃から身を守れるよう、Elasticsearchが稼働しているサーバをウェブ上から隠ぺいするよう警告している。
The Registerが最初に報じたところによると、被害に遭ったElasticsearchインスタンスは360にのぼるという。また、MongoDBに対する攻撃を追跡したセキュリティ研究者のNiall Merrigan氏は、さらにその数が増加していると報告している。それらほとんどのインスタンスは米国でホストされているが、中国や欧州、シンガポールでホストされているものもあるという。
Elasticsearchインスタンスに対する攻撃が、MongoDBに対する大規模攻撃と同じパターンで推移するのであれば、その数は急増する可能性がある。検索エンジンを手がけるShodanの創業者であるJohn Matherly氏は、インターネット上で公開されているElasticsearchサーバを12日時点で3万5000台確認しており、そのほとんどは「Amazon Web Services」(AWS)インフラ上でホストされているとしている。
Matherly氏は、9万9000のMongoDBデータベースがインターネット上で公開されていると推定している。またMerrigan氏は1月12日の時点で、3万4000台のMongoDBサーバが攻撃を受けた結果、失われたデータは数百テラバイトにも及ぶとしている。
MongoDBの場合、内容が身代金要求に置き換えられていたデータベースは1月3日時点でわずか2000だった。ここで特筆すべきなのは、身代金と引き替えに返却するとされていた消去データが、実際にはコピーされていなかったという点だ。
ElasticsearchのコンサルタントであるItamar Syn-Hershko氏は、こういった身代金要求攻撃の被害者にならないようにするための、Elasticsearchクラスタの詳細な設定方法を公開している。
攻撃を受けたElasticsearchインスタンスの所有者は、0.2ビットコイン(約160ドル)の支払いを要求するメッセージを目にすることになる。
提供:Itamar Syn-Hershko
Syn-Hershko氏は、「何をするにせよ、クラスタノードをウェブ上で公開してはいけない。これは当たり前の話に思えるかもしれないが、皆が守っているわけでないのは明らかだ。自らのクラスタは絶対にウェブ上で公開してはいけない」と警告している。
ElasticのエンジニアリングチームのMike Paquette氏は、ランサム攻撃からElasticsearchを保護する手段について記したブログを公開している。
AWSでホストされた、Elasticが管理しているバージョンのElasticsearchは、デフォルトで保護されているが、Elasticsearch自体は認証などを行っていないため、信用できないユーザーがアクセス可能になっている場合は、適切に設定する必要がある。
Elasticは「安全な状態ではないElasticsearchのインスタンスはインターネットに直接公開するべきではないと強く呼びかけている」とPaquette氏は述べた。
Elasticは、同社が管理していないElasticsearchクラスタについて、以下の対処を実施するよう推奨している。
- すべてのデータを安全な場所にバックアップするとともに、「Curator」によるスナップショットの取得を検討する。
- Elasticsearchを、ルーティングが不能な隔離されたネットワーク上で稼働させるよう、環境を再設定する。
- Elasticsearchクラスタにインターネット経由でアクセスする必要がある場合、ファイアウォールやVPN、リバースプロキシといったテクノロジを用いて、インターネットから同クラスタへのアクセスを制限する。
提供:Niall Merrigan/Twitter
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。