基本的な認証制御が欠如した、インターネットに公開された設定不備のMongoDBデータベースを標的とする大規模なランサムウェアキャンペーンが、世界中で数千台のサーバーを侵害し続けています。
最近の調査により、日和見的な脅威アクターが自動化スクリプトを活用してデータベースを消去し、ビットコインでの身代金を要求していることが明らかになりました。設定の不備が、拡張可能な恐喝オペレーションへと転化しています。
2017年から2021年にかけて、MongoDBのランサムウェアキャンペーンは世界中の数千の組織に影響を与えました。
その後の数年間で公的な報告は減少したものの、最近の調査は、この脅威が決して消え去っていなかったことを示しています。
2025年後半、セキュリティ研究者は複数の地理的ロケーションにわたり、認証なしでMongoDBを公開するMongoDB インスタンスのハニーポット基盤を展開しました。
数日以内に、すべてのハニーポットサーバーがビットコインで約500米ドルの身代金を要求するメモを受け取り、攻撃パターンが依然として活発で自動化されていることが確認されました。
この再燃は、侵入テストによって中小企業で侵害された2つのMongoDBインスタンスが明らかになり、いずれにも身代金要求メモが含まれていたことで、さらに浮き彫りになりました。
その後のより深い調査により、安全でないデプロイ手法がチュートリアル、コンテナイメージ、インフラテンプレート全体にわたって依然として残っている証拠が見つかりました。
MongoDBのランサムウェアキャンペーンは、重大な脆弱性を悪用します。すなわち、認証なしでデプロイされ、インターネットに公開されたデータベースです。
自動スキャンにより、任意のIPアドレスからの接続を受け付けるポート27017で待ち受けているMongoDBサービスが特定されます。
その後、脅威アクターは単純な4段階のプロセスを実行します。大規模なインターネットスキャンで脆弱なMongoDBインスタンスを見つける、データベース内容を自分たちのシステムへエクスポートまたはコピーする、被害者サーバー上のすべてのコレクションとデータベースを完全に消去する、そして48時間以内にビットコインでの支払いを要求する身代金要求メモを含む新しいコレクションを挿入する、という流れです。
セキュリティ専門家は身代金を支払わないよう強く助言しています。支払いに応じた被害者は、見返りとして何も受け取れなかったと報告することが多く、攻撃者が盗まれたデータのコピーを保持していない場合が多いため、支払いの有無にかかわらず復旧が不可能になります。
インターネット接続デバイスの検索エンジンであるShodanを用いた分析により、公開状態で発見可能なMongoDBサーバーが20万台以上特定されました。
そのうち10万以上のインスタンスが運用情報を開示しており、3,100台のサーバーはアクセス制限や認証要件なしで完全に公開されていました。
完全に公開されていた3,100台のサーバーのうち、1,416インスタンスはすでに侵害されており、データベースが消去されて身代金要求メモに置き換えられていました。
ほぼすべての事案で、ビットコインで約500米ドルが要求されました。注目すべきことに、全攻撃で観測されたビットコインウォレットは5種類のみに限られ、単一のウォレットアドレスが98%以上のケースで確認されました。これは、単一の支配的な脅威アクターの存在を強く示唆します。
身代金要求の一部だけが支払いに至ったとしても、このキャンペーンの収益はゼロから約842,000米ドルの範囲になり得ます。
脅威インテリジェンスの収集により、MongoDBの身代金要求に関するチュートリアルがダークウェブのフォーラムやTorサイトで流通していることが明らかになりました。
2025年に発見されたあるチュートリアルは、この攻撃手法が技術的専門知識を必要としないと明確に売り込み、公開データベースを標的にすることで「毎日安定した現金を得られる」と主張していました。
これらのイメージは30の異なるネームスペースにまたがっており、広く使用されている2つのプロジェクトはそれぞれ15,000回を超えるプル数を記録していました。
この配布メカニズムにより、コピーペーストによるデプロイ慣行を通じて、安全でない設定が急速に拡散します。
さらに、公開されたMongoDB認証情報の検索により、コードリポジトリ、ダークウェブフォーラム、ペーストサイト、漏えいデータベース全体で、攻撃者が悪用可能な有効性が確認された機能する認証情報が約8,954件見つかりました。
翻訳元: https://cyberpress.org/wipe-mongodb-databases/