インターネットに公開されているデータベースの数が増加の一途をたどっており、2021年には30万8000件が確認されています。
グローバルなサイバーセキュリティのリーダーの1つであるGroup-IBは、2021年に発見された露出したデジタル資産の調査を実施しました。
この調査において、Group-IBのアタックサーフェスマネジメントチームは、インターネットに面したデータベースをホストするインスタンスを分析しました。
その結果、2021年後半には、公開用データベースの数が16%増加して165,600となり、そのほとんどが米国内のサーバーに保存されていることがわかりました。
2022年の第1四半期には、露出したデータベースの量が91,200インスタンスにピークを迎えたと、脅威情報・調査会社Group-IBの研究者がレポートの中で述べています。
インターネットの表舞台でデータベースが露出するのは、多くの場合、設定ミスによるものです。
ハッカーは、インターネット上からアクセス可能な検索エンジンを使ってデータベースを探し出し、コンテンツを盗んだり恐喝を行ったりすることがよくあります。
Group-IBは、Attack Surface Managementソリューションを使って、データベースへのアクセスに関連するオープンポートをスキャンし、インデックスやテーブルが利用可能かどうかを確認しました。
同社のソリューションはデータベースが公開されているかどうかを確認することに限られており、データベースの内容を収集・分析する機能は持っていないと述べています。
Group-IBが発見した公開されたインスタンスのほとんどは、米国と中国のサーバーにあるもので、ドイツ、フランス、インドも顕著な割合で存在しています。
露出したインスタンスで使用されているデータベース管理システムは、そのほとんどがRedisでMongoDBのほぼ2倍の数になっています。Elasticは数万台と少なく、MySQLはGroup-IBで検出されたインスタンスの中で最も少ない数を記録しています。
これらの管理システムでは、インスタンスがパスワードなしで一般にアクセスできるように設定されている場合、管理者に警告を出すような対策がとられていますが、問題は解決していません。
管理者がインスタンスのセットアップ時やメンテナンスセッション後に、次の重要なステップに従うことで、データベースのセキュリティを確保することができます。
- データベースを公開する必要がない場合は、公開しないようにする。
- データベース管理システムを常に最新の状態に保ち、悪用可能な脆弱性を減らす。
- インスタンスへのアクセスに強力なユーザー認証を使用する。
- すべての保存された情報に対して、強力なデータ暗号化プロトコルを導入する。
- パケットフィルター、パケットインスペクション、プロキシを使用したデータベースとWebアプリケーションのファイアウォールを使用する。
- リアルタイムのデータベース監視を使用する。
- 悪意のあるスキャンにインスタンスがさらされるようなデフォルトのネットワークポートを使用しない。
- 可能な限り、サーバーのセグメンテーションに従う。
- データのオフラインバックアップを暗号化して保存する。
Comments