脅威アクターが、公開されたMongoDBインスタンスを標的にした自動化されたデータ恐喝攻撃を行い、データを復元する見返りとして所有者に少額の身代金を要求している。
攻撃者は「手の届きやすい獲物」に注力しており、設定ミスにより制限なくアクセスできてしまう不安全なデータベースが狙われている。約1,400台の公開サーバーが侵害され、身代金メモではビットコインで約500ドル相当の支払いが要求されていた。
2021年までは攻撃が相次ぎ、数千のデータベースが削除され、情報を復元するための身代金が要求されていた[1, 2]。場合によっては、攻撃者が金銭要求なしに単にデータベースを削除するだけのこともある。
サイバーセキュリティ企業Flareの研究者によるペネトレーションテストの演習により、これらの攻撃が規模は小さいものの継続していることが明らかになった。
研究者は、公開状態のMongoDBサーバーが208,500台以上あることを発見した。そのうち100,000台は運用情報を露出しており、3,100台は認証なしでアクセスできた。
出典: Flare
制限なしでアクセスできるもののほぼ半数(45.6%)は、Flareが調査した時点ですでに侵害されていた。データベースは消去され、身代金メモが残されていた。
身代金メモを分析したところ、その大半は48時間以内に0.005 BTCの支払いを要求していた。
「脅威アクターは、指定されたウォレットアドレスにビットコイン(多くの場合0.005 BTCで、現在の価値で500~600米ドル相当)での支払いを要求し、データを復元すると約束する」と、Flareのレポートには記されている。
「しかし、攻撃者がデータを保持している保証はなく、支払ったとしても動作する復号鍵を提供する保証もない。」
出典: Flare
投下された身代金メモに含まれるウォレットアドレスは5種類しかなく、そのうち1つが約98%のケースで使われていたことから、単一の脅威アクターがこれらの攻撃に注力していることが示唆される。
Flareはまた、公開されていてセキュリティも不十分であるにもかかわらず被害に遭った形跡がない残りの露出インスタンスについても言及し、それらはすでに攻撃者に身代金を支払った可能性があると推測している。
不十分な認証対策に加え、研究者は、インターネットに公開されているMongoDBサーバー全体のほぼ半数(95,000台)が、n-dayの脆弱性に影響を受ける古いバージョンを実行していることも発見した。ただし、それらの多くはサービス拒否(DoS)攻撃に限定され、リモートコード実行には至らない可能性が高かった。
出典: Flare
Flareは、絶対に必要な場合を除きインスタンスを公開しないこと、強力な認証を使用すること、信頼できる接続のみを許可するファイアウォールルールとKubernetesのネットワークポリシーを適用すること、そしてデプロイガイドから設定をコピーすることを避けるようMongoDB管理者に提案している。
MongoDBは最新バージョンに更新し、公開状態になっていないか継続的に監視すべきだ。公開が確認された場合は、認証情報をローテーションし、不正な活動がないかログを調査する必要がある。
