「MongoDB」狙うランサムウェア攻撃で2万7000超のデータベースが被害に--研究者ら報告

　貧弱な設定のままで運用されている「MongoDB」データベースに侵入し、データを消去したうえで、復元料として最高1ビットコインを要求する攻撃が相次いでいる。その数はここ1週間で数万に及んでいるという。

　オランダに拠点を置くGDI Foundationの共同創設者であるVictor Gevers氏と、ノルウェーに拠点を置く開発者のNiall Merrigan氏は、MongoDBに対する攻撃の急増を追跡してきている。この攻撃は、複数のグループによって実行されており、標的となるデータベースの内容を消去し、「WARNING」（警告）や「PWNED」（制圧済み）、「PLEASE_READ」（必読）といった名称の空のデータベースで置き換えるというものだ。

　攻撃者らはデータベースの内容をコピーしており、0.2～1ビットコインを支払えば取り戻せると主張しているが、身代金を支払ったとしてもデータを実際に取り戻せる保証はない。

　Merrigan氏によると、被害を受けたMongoDBの数はここ数日で2万7000あまりに達しており、1月3日時点の推定である2000や、1月5日時点の8542から急増しているという。

　MongoDBはオープンソースのNoSQLデータベースとして、ビッグデータやアナリティクスといった目的で広く利用されている。DB-Enginesが公表しているデータベース人気ランキングでも、同DBは315データベース中、4位となっている。

　現時点では、インターネット経由でのアクセスが可能なMongoDBインスタンス9万9000のうち、4分の1以上が既に被害を受けている。

　攻撃者らは、簡単に攻撃できる標的、すなわち管理者アカウントがパスワードで保護されていないMongoDBのインスタンスに狙いを定めている。

　こうした攻撃が急増したのは、同じ手口を使うグループが一気に増えたためである可能性がある。最初に報告された攻撃は12月半ばに発生しており、Harak1r1という名前を使う何者かが身代金を受け取ったとされている。

　Gevers氏とMerrigan氏が管理、公開しているGoogleスプレッドシートによると、現在20近くのグループが独自の電子メールアドレスとビットコインアドレスを使って活動しているという。最も活発に攻撃しているのはKraken0であり、1万5000を超えるデータベースを攻撃し、消去したデータの復元に1ビットコインを要求している。

　Gevers氏とMerrigan氏は、今回の攻撃を受けた100を超える組織を支援してきていると述べている。

　Merrigan氏は、IT関連のヘルプサイトを運営するBleeping Computerに対して、MongoDBに対する今回の攻撃は「ゴールドラッシュ」の状態であり、さまざまなグループが（データベース上の）身代金要求メモを上書きしあっていると語っている。

　MongoDBの製品セキュリティディレクターAndreas Nilsson氏は、この攻撃を防ぐために管理者がとれる一連の手段を公開するとともに、ほとんどの身代金攻撃を無力化するうえで、データのバックアップが重要だと強調している。

提供：Victor Gevers/Twitter