ハッカーが23,000のMongoDBデータベースを人質に取り、金銭を支払わなければデータを漏らすと脅迫

元のタイトル: 「ハッカーが 23,000 個の MongoDB データベースを脅迫し、支​​払わない場合はデータを漏洩」

原著者: Wan Jia、InfoQ

海外メディアZDNetによると、オンラインで公開された22,900個のMongoDBデータベースがハッカーによって脅迫されたという。伝えられるところによると、ハッカーは自動スクリプトを使用して、誤って設定された MongoDB データベースをスキャンし、その内容を削除し、0.015 ビットコイン (140 ドル相当) を要求する身代金要求メモを残したとのことです。

攻撃者はデータベース所有者に身代金を支払う期限として 2 日間を与えました。身代金が支払われない場合、攻撃者は「プラン B」を用意しています。つまり、被害者にデータを漏らすと脅し、被害者の地域の GDPR 規制当局に連絡してデータ侵害を報告するのです。

この方法では、被害者が身代金を支払わなかったとしても、GDPR 規制当局からの圧力に直面することになります。

身代金が要求された 22,900 個の MongoDB データベースは、オンラインで公開されているすべての MongoDB データベースの 47% を占めると推測されています。

攻撃者が仕掛けた身代金要求メモは、2020年4月に初めて発見された。ビクター・ゲヴァース氏はGDI財団のサイバーセキュリティ研究者で、オンラインで公開されているサーバーを企業に報告するのが彼の仕事の一部だ。同氏は、最初の攻撃ではデータベースからデータを削除することはなかったと述べた。

攻撃者は同じデータベースに接続し続け、身代金要求のメモを残し、数日後に再び戻ってきて身代金要求のメモのコピーを残しました。ゲバーズ氏は、襲撃犯らは脚本に間違いがあったことに気付いたようだと述べた。その後すぐに、攻撃者はスクリプトを修正し、実際に MongoDB データベースを消去しました。

これらのデータベースの一部はテストケースのようだったが、一部の実稼働システムも被害を受けたとゲバーズ氏は述べた。

MongoDB ランサムウェア事件

ハッカーはユーザーのMongoDBデータベースに侵入し、すべてのデータを削除した後、ビットコインで数千ドル相当の身代金を要求するメッセージを残した。この攻撃は「MongDB ランサムウェア事件」と呼ばれています。

実際、MongoDB ランサムウェア事件は数年前に何度か発生しています。

2016 年 12 月末、MongoDB はハッカーによる脅迫を受け、事件は 2017 年 1 月にピークに達しました。攻撃者は MongoDB の欠陥のある構成を利用してランサムウェアを実行しました。 Harak1r1 と名乗るハッカーグループは、インターネット上の公開 MongoDB データベースからデータをエクスポートし、MongoDB サーバーからデータを削除しました。当初、200 個の MongoDB データベース インスタンスのデータが不法に消去され、数日以内に、感染した MongoDB データベース インスタンスの数は 1 万個以上に増加しました。最初、攻撃者は被害者にデータの身代金として0.2ビットコイン（当時の価値で約184米ドル）を支払うよう要求しました。感染したデータベースが増えるにつれて、攻撃者は身代金を1ビットコイン（約906米ドル相当）に増額しました。この事件は「MongoDB の黙示録」と呼ばれています。

この一連の攻撃により、ハッカーたちは、MongoDB サーバーを消去し、身代金要求のメモを残して、必死になってファイルを取り戻そうとしているサーバー所有者を誘惑することで、より多くの金を稼げることに気付いた。

2017年9月、MongoDBデータベースは再びハッカーによる身代金目的の攻撃を受け、3つのハッカーグループが26,000台以上のサーバーを乗っ取りました。 「MongoDB Apocalypse」と比べると、攻撃者の数は減少しましたが、攻撃1回あたりの被害（被害者数）は増加しました。

2017年、MongoDBの製品セキュリティ担当シニアディレクターであるDavi Ottenheimer氏は、この行為を非難し、データベース所有者がデータベースにパスワードを設定しておらず、ファイアウォールなしでサーバーをオンラインにさらしたままにしていたことが原因の1つであると指摘した。

ほぼ3年が経過しましたが、ほとんど何も変わっていません。

2017 年の初めには、オンラインで公開されている MongoDB サーバーは 60,000 台ありましたが、現在では 48,000 台のサーバーがオンラインで公開されています。重要なのは、そのほとんどで認証が有効になっていないことです。

セキュリティ問題の原因

MongoDB はなぜそれほど脆弱なのでしょうか?

この記事では、MongoDB の最大のセキュリティ問題は MongoDB のデフォルト設定に起因すると著者は指摘しています。デフォルトのデプロイメントでは、MongoDB は認証なしでログインできます。犯罪者がインターネット上で MongoDB のアドレスとポートを見つければ、ツールを通じて MongoDB に直接アクセスし、MongoDB の完全な権限を取得してあらゆる操作を実行できます。このデザインの理由は次のとおりです。

デフォルトでは、MongoDB は実行速度を最大化するために最も単純なデプロイメント方法を使用し、MongoDB のセキュリティを十分に考慮せずに仮想マシン (低構成マシン) 上で実行するようにカスタマイズされています。
認証、伝送の暗号化、ネットワーク構成に関するドキュメントやガイドなどの MongoDB 公式ドキュメントは標準化されておらず、MongoDB 管理者を誤解させる可能性があります。
一部の MongoDB 環境は単一のプロジェクトまたはテスト環境用に構築されており、構築者は MongoDB のセキュリティ問題を考慮に入れていません。

MongoDB ランサムウェア事件に関して、MongoDB 中国コミュニティの創始者であり、MongoDB Greater China のチーフ アーキテクトである Tang Jianfa 氏は、「完璧なテクノロジーなど存在しない: MongoDB の 10 年間の開発の完全記録」の中で次のように結論付けています。

MongoDB では、プログラマーが可能な限り迅速にアプリケーションを開発できるようにするために、デフォルトではログイン時にユーザー名とパスワードを設定する必要がありません。その結果、多くの不注意なプログラマー、特にスタートアップ企業のプログラマーは、システムが正式にリリースされたときに認証を有効にできないことがよくあります。それは家を買ったのにドアの鍵を使わないようなものです。

私の意見では、MongoDB を使用するすべての人にとってセキュリティは最も重要です。不注意で MongoDB がオンラインに公開された場合、脅迫されるのは小さな問題ですが、データが削除された場合、損失は無限大になります。

オリジナルリンク: https://mp.weixin.qq.com