Elasticsearch データベース 450件が攻撃されている:ランサムウェアなのか? ワイパーなのか?

Hundreds of Elasticsearch databases targeted in ransom attacks

2022/06/01 BleepingComputer — セキュリティが不十分な Elasticsearch データベースを標的とするハッカーたちが、450 のインデックスを置き換え、コンテンツを復元するには $620 が必要だとする身代金メモを送っているが、その合計額が $279,000 に達していることが判明した。脅迫者は、7日間の支払い期限を設定し、それに従わない場合には要求額を2倍にすると脅している。さらに1週間が経過しても支払われない場合に、被害者はインデックスを失うという。

脅迫者が要求する金額を支払った人には、データ構造を素早く元の形に復元するための、データベース・ダンプへのダウンロード・リンクが約束される。このキャンペーンは、Secureworks の脅威アナリストにより発見され、身代金の支払いを求める 450 以上の個別の要求が確認されたという。Secureworks によると、脅威アクターは自動化されたスクリプトを用いて、保護されていないデータベースを解析し、データを消去し、身代金を要求しているが、この一連の操作が手動で行われているようには見えない。

Ransom note dropped on wiped databases
Ransom note dropped on wiped databases (Secureworks)


キャンペーンの結果

このキャンペーンは新しいものではなく、過去に何度も、また、他のデータベース管理システムに対しても、同様の攻撃が確認されている [123]。ハッカーに身代金を支払って、データベースの内容を復元するというのは、あり得ないシナリオだという。攻撃者が、大量のデータを保存することは、現実的かつ金銭的な課題を考えると、実現不可能だからである。

その代わり、脅威者は保護されていないデータベースの内容を単純に削除し、身代金のメモを残し、自身の主張を被害者に信じこませようとしている。これまでのところ、身代金請求書に見られるビットコイン・ウォレットのアドレスのうち、1件が支払いを受けている。

One of the Bitcoin addresses used in the campaign
One of the Bitcoin addresses used in the campaign (Blockchain.com)


しかし、定期的にバックアップを取っていないデータの所有者にとっては、このようなワイプにより全てを失うことは、大きな経済的損害につながる可能性が高い。こうしたデータベースの中には、オンライン・サービスをサポートしているものもあり、業務に支障をきたすため、攻撃者が要求する金額よりも、はるかに大きなコストが生じる可能性が大である。また、ユーザー組織としては、侵入者により盗み出されたデータが、様々な方法で収益化される危険性を、決して排除してはならない。

Elasticsearch のセキュリティ

残念ながら、データベースを適切に保護しないまま、パブリックなインターネットに晒している限り、このような攻撃者はデータベースを狙い続けることになる。Group-IB の最近のレポートによると、2021年には 10万台以上の Elasticsearch インスタンスが Web 上に露出していることが判明しており、2021年に露出したデータベースの総数 30万8000件のうち約30%を占めているという。

Total number of exposed databases detected
Total number of exposed databases detected from the start of 2021 (Group-IB)


同レポートによると、データベース管理者がミスコンフィグレーションに気づくまでに、平均で 170日かかっており、悪意の行為者が攻撃を行うための時間が、十分に残されていることになる。Secureworks が強調しているように、自分の役割に不可欠でない限り、データベースは公開されるべきではない。さらに、リモートアクセスが必要な場合には、管理者は許可されたユーザーに対して多要素認証を設定し、アクセスを関係者だけに制限する必要がある。

これらのサービスを、クラウド・プロバイダーに委託している企業は、ベンダーのセキュリティ・ポリシーが自社の標準に適合し、すべてのデータが適切に保護されていることを確認する必要がある。

文中にある、「大量のデータを攻撃者が保存することは、現実的かつ金銭的な課題を考えると実現不可能」という解説に、説得力を感じてしまいます。単なるワイパー攻撃なら、身代金を支払っても復旧はしません。なお、Elasticsearch とは、Elastic 社が開発しているオープンソースの全文検索エンジンであり、大量のドキュメントから目的の単語を含むドキュメントを、高速に抽出する製品とのことです。お隣のキュレーションチームに聞いてみたら、ときどき脆弱性情報を見かけると言っていました。また、IBM の製品にも利用されているようです。

%d bloggers like this: