設定不備のMongoDBデータベースを狙う大規模なランサムウェアキャンペーンは、基本的な認証制御を欠いたインターネット公開インスタンスを攻撃者が悪用し続けており、世界中で数千台のサーバーが侵害されています。
最近の調査により、日和見的な脅威アクターが自動化スクリプトを用いてデータベースを消去し、ビットコインでの身代金を要求していることが明らかになりました。設定の怠慢が、拡張可能な恐喝オペレーションへと変えられています。
数年の沈黙を経て攻撃が再浮上
2017年から2021年にかけて、MongoDB ランサムウェアキャンペーンは世界中の数千の組織に影響を与えました。
その後の数年間は公的な報告が減少したものの、最近の調査により脅威が消えていなかったことが示されています。
2025年後半、セキュリティ研究者は複数の地域にわたり、認証なしで公開されたMongoDBインスタンスを露出させるハニーポット基盤を展開しました。
数日以内に、すべてのハニーポットサーバーがビットコインで約500米ドルを要求する身代金メモを受け取り、この攻撃パターンが依然として有効で自動化されていることが確認されました。
この再燃は、ペネトレーションテストによってもさらに浮き彫りになりました。中小企業で侵害されたMongoDBインスタンスが2件見つかり、いずれにも身代金メモが含まれていました。
この発見を受け、現在の脅威環境についてより深い調査が行われ、チュートリアル、コンテナイメージ、インフラテンプレート全体で安全でないデプロイ慣行が依然として残っている証拠が明らかになりました。
MongoDBランサムウェア攻撃は、単純ながら重大な脆弱性を悪用します。すなわち、認証なしでデプロイされ、インターネットに公開されたデータベースです。
自動スキャンツールは、任意のIPアドレスからの接続を受け付けるポート27017で待ち受けるMongoDBサービスを特定します。発見されると、攻撃者は単純な4段階の手順を実行します。
まず、脅威アクターは大規模なインターネットスキャンによって脆弱なMongoDBインスタンスを見つけます。次に、データベース内容を自分たちのシステムへエクスポートまたはコピーします。
3番目に、被害者サーバー上のすべてのコレクションとデータベースが完全に消去されます。最後に、攻撃者は新しいコレクションを挿入し、48時間以内にビットコインでの支払いを要求する身代金メモを残し、従わなければ恒久的なデータ損失になると脅します。
セキュリティ専門家は、身代金を支払わないよう強く助言しています。支払った被害者が、見返りを何も得られなかったと報告するケースが頻繁にあるためです。
多くの場合、攻撃者は実際には盗んだデータのコピーを保持しておらず、支払いの有無にかかわらず復旧が不可能になります。
インターネットスキャンで明らかになった大規模な露出
インターネット接続デバイス検索エンジンであるShodanを用いた分析により、公開状態で発見可能なMongoDBサーバーが20万台以上特定されました。
このうち10万件以上のインスタンスが運用情報を開示しており、3,100台のサーバーはアクセス制限や認証要件がないまま完全に露出していました。
| 指標 | 件数 | 割合 |
|---|---|---|
| 発見されたMongoDBサーバー総数 | 200,000+ | – |
| 運用情報を開示しているサーバー | 100,000+ | – |
| 完全に露出したインスタンス(認証なし) | 3,100 | 100% |
| 侵害されたインスタンス(消去+身代金) | 1,416 | 45.6% |
| 少なくとも1つの脆弱性を持つサーバー | 95,000 | 46.3% |
完全に露出した3,100台のサーバーのうち、1,416インスタンス(45.6%)はすでに侵害されており、データベースが消去され身代金メモに置き換えられていました。ほぼすべての事案で、ビットコインで約500米ドルが要求されていました。
重要なのは、すべての攻撃で観測されたビットコインウォレットが5種類しかなかった点です。単一のウォレットアドレス(bc1qe2l4ffmsqfdu43d7n76hp2ksmhclt5g9krx3du)が98%以上のケースに存在しており、単一の支配的な脅威アクターの存在を強く示唆しています。
露出したサーバー数と侵害インスタンス数の差は、残りの1,684システムについて疑問を投げかけます。
一部はテスト環境、またはオフライン化されたシステムである可能性があります。一方で、身代金を支払ってしまい、侵害の目に見える痕跡が残っていないケースも考えられます。
たとえ一部しか支払われていないとしても、このキャンペーンの収益はゼロから約842,000米ドルの範囲になり得ます。
脅威インテリジェンスの収集により、MongoDBの身代金チュートリアルがダークウェブのフォーラムやTorサイトで流通していることが明らかになりました。
2025年に発見されたあるチュートリアルは、この攻撃手法が技術的専門知識を必要としないとして明確に売り込み、公開データベースを狙えば「毎日安定して現金を引き出せる」と主張していました。
そのチュートリアルは、企業がMongoDBと、その管理インターフェースであるMongo Expressを、パスワードなしでオンラインに露出させたままにしていることが多いと説明する、段階的な手順を提供していました。
ガイドは、この手法に必要なのは基本的なコンピュータスキルだけであり、「コピー、貼り付け、クリックができればOK」として、参入障壁を下げていることを強調していました。
Flareも分析としてDocker HubとGitHubのリポジトリを調査し、認証なしでデータベースをすべてのネットワークインターフェース(0.0.0.0)にバインドする安全でないMongoDB設定を含むコンテナイメージを763件特定しました。
これらのイメージは3か月間で30の異なるネームスペースにまたがっており、広く使われている2つのプロジェクトはそれぞれ15,000回を超えるプル数でした。
この配布メカニズムにより、コピペによるデプロイ慣行を通じて安全でない設定が急速に拡散します。
さらに、公開されたMongoDB認証情報の検索では17,909件の潜在的結果が得られ、そのうち約半数が攻撃者に悪用され得る有効な認証情報として検証されました。
これらの認証情報は、コードリポジトリ(GitHub、Docker Hub)、ダークウェブフォーラム、ペーストサイト、漏えいデータベースにわたって見つかりました。
MITRE ATT&CKフレームワークへのマッピング
MongoDBの身代金キャンペーンは、技術的には単純であるにもかかわらず、MITRE ATT&CKフレームワークに整合する完全な攻撃ライフサイクルを示しています。
| 戦術 | テクニックID | テクニック名 | 説明 |
|---|---|---|---|
| 初期アクセス | T1190 | 公開アプリケーションの悪用 | 認証なしで公開MongoDBに接続 |
| 探索 | T1046 | ネットワークサービス探索 | MongoDBのポート27017が開いているIPレンジをスキャン |
| 探索 | T1087 | アカウント探索 | データベースとコレクションを列挙 |
| 収集 | T1213 | 情報リポジトリからのデータ | 価値を評価するためにデータベースをダンプ |
| 影響 | T1485 | データ破壊 | コレクションとデータベースを削除/消去 |
| 影響 | T1489 | サービス妨害 | 業務運用を妨害 |
| 影響 | T1657 | 恐喝 | ビットコイン支払いを要求する身代金メモを挿入 |
特筆すべき点として、この攻撃は権限昇格、ラテラルムーブメント、マルウェアの展開を必要としません。
攻撃者は安全でないデフォルト設定によって与えられた権限の範囲内だけで活動するため、検知が難しく、予防策よりも事後対応に偏りやすくなります。
翻訳元: https://gbhackers.com/hackers-target-mongodb-instances/
