ニュース

データベース管理システムへの探索行為が急増、警察庁が注意喚起

攻撃者によりデータが消去される事案が多数報告

 警察庁は、インターネット定点観測システムにおける1月の観測結果の分析を発表した。MongoDB、Apache CouchDB、Elasticsearch、Hadoopの各データベース管理システムに対するスキャンが1月5日以降に急増しており、外部からのアクセス制限や、適切な認証の実施などを推奨している。

 MongoDBに対するこれまでのスキャンは、インターネットセキュリティの向上を目的として、攻撃を受ける可能性があるサービスの稼動を探索する「非営利組織A」と、あらゆるサービスに対して探索を実施して結果を蓄積するとともに同結果の検索サービスを提供する「検索サイトB」によるものが大半だった。しかし、1月5日以降、これら以外からのスキャンが急増しているという。

27017/TCPに対するMongoDBへの探索行為のアクセス件数推移
27017/TCPに対するMongoDBへの探索行為の発信元組織別アクセス件数推移

 また、Apache CouchDBに対するスキャンは、昨年12月下旬から観測されており、今年1月下旬以降は問い合わせ内容に変化がみられたという。

5984/TCPに対するApache CouchDBの探索行為の問い合わせ内容別のアクセス件数の推移

 データを蓄積し、これに対する全文検索機能を提供するElasticsearchへのスキャンは、1月中旬から断続的に観測されている。また、2014年2月に公表されている脆弱性を標的としたアクセスも引き続き観測されているという。

9200/TCPに対するElasticsearchの探索行為の問い合わせ内容別のアクセス件数の推移

 このほか、データの分散処理を行うHadoopを構成する分散ファイルシステム「HDFS(Hadoop Distributed File System)」へのスキャンも、1月18日に観測されている。具体的には、ポート50070/TCPに対して「GET /webhdfs/v1/?op=LISTSTATUS」を問い合わせるもの。

 警察庁によれば、インターネット上に公開され、認証不要で誰もがアクセス可能となっていたこれらのデータベース管理システムで12月下旬から1月にかけ、攻撃者によりデータが消去される事案が多数報告されたという。この中には、事前にデータをバックアップした攻撃者から、データを取り戻したければ身代金を支払うよう要求するメッセージが残されていたものあったという。

 警察庁では、これらのデータベース管理システムにおいて、外部ネットワークからのアクセス制限や、適切な認証の実施に加え、データのバックアップや暗号化を行うことも推奨している。

 また、警察庁では、「Apache Commons Collections(ACC)」ライブラリに起因する「OpenNMS」の脆弱性を標的としたアクセスを1月10日以降に観測。これに対しても注意を喚起している。

OpenNMSの脆弱性を標的としたポート1099/TCPに対するアクセス件数の推移

 2015年11月6日には、脆弱性の詳細と実証コードが公開されており、警察庁では、これを基に作成されたとみられる攻撃コードがインターネット上に公開されていることを2016年2月に確認しているという。今回観測されたアクセスは、これによるリクエストと酷似しており、OpenNMS稼働サーバーにLinuxで動作する実行ファイルのダウンロードを試みるものだという。

観測したアクセスに含まれていたコマンドの内容(一部をマスキング)

 警察庁では、このアクセスにより、不正プログラムのダウンロードが成功したサーバーではファイルが実行され、不正プログラムに感染させられるものと推測しており、この脆弱性が修正されたOpenNMSバージョン「17.0.0」への更新を推奨している。ただし、ACCライブラリを利用してJavaで開発したソフトウェアでは、個別の対応が必要となる。

 なお、ACCライブラリの開発元では、認証を受けておらず信頼できない相手から送られたデータを処理することは避けるべきで、攻撃に悪用可能なクラスは他にも存在する可能性もあるため、ライブラリを最新版に更新するだけでは脆弱性への完全な対策とはならないとしている。