WebベースのRSSリーダーとして人気のNewsBlurのデータベースがハッカーによって消去され、元のデータへのアクセスと引き換えに身代金の支払いを要求されていたことがわかりました。
2021年6月25日未明に発生したこの事件は、NewsBlur社のスタッフの手元にあった以前のバックアップから復元したことで、すでに解決しています。
同社のホームページに掲載されたメッセージによると、NewsBlur社のMongoDBサーバーが攻撃されたようです。
ファイアウォールのバグでデータベースがオンラインに
NewsBlurの創業者であるSamuel Clay氏は、今回の攻撃の原因をデータベースの移行中に発生したファイアウォールのバグとしています。
攻撃を受ける2時間前に、MongoDBのクラスタを新しいサーバに切り替えました。私が有効にしていたufwのファイアウォールが、Dockerのせいで新しいサーバーでは機能しないことが判明しました。MongoDBをコンテナ化したとき、Dockerは親切にもiptablesにallowルールを挿入してくれて、MongoDBを世界に開放されてしまいました。そのためファイアウォールが「アクティブ」である間、sudo iptables -L | grep 27017を実行すると、MongoDBが世界に開かれていることがわかったでしょう
これによってハッカーはサーバーにアクセスでき、コンテンツを消去し、身代金のメモを残したと考えています。
UFW + Dockerの組み合わせの危険性について↓
MongoDBデータベースが偶然ネット上に公開されてから、攻撃者が見つけるまでに要した時間はわずか3時間だったそうです。
Clay氏によると、NewsBlurが攻撃から回復できたのは、現在の移行作業中に置き換えようとしていたオリジナルのMongoDBデータベースのコピーがまだ残っていたからだという。
今回の攻撃は自動化されたもので、2016年末に複数の攻撃者がMongoDBサーバーのデータを消去し、パスワードなしでMongoDBインスタンスをオンラインに公開させたままにしていたサーバー所有者から身代金を要求するようになった一連の行為のものとされています。
ほとんどの場合、被害者から通常2万円〜200万円(200ドルから2,000ドル)の範囲の少額の身代金要求を支払わせようとしていたようです。
これらの攻撃はその後も続いており、2016年から2017年にかけての初期攻撃に比べると規模ははるかに小さいものの、現在も活発に行われています。
Shadowserver Foundationが行ったインターネットスキャンによると、オンラインでアクセス可能なMongoDBサーバーは8万台近くあり、16,000台以上がパスワードなしでアクセス可能となっているとのことです。
Comments