警察庁のサイバーフォースセンター(サイバーテロ対策技術室)では、全国の警察施設のインターネット接続点にセンサーを設置、定点観測を実施しWebサイト「@police」でその動向を定期的に発表している。
1月の観測では、ビッグデータに活用されるHadoopやMongoDBなどいわゆるNoSQLなどリレーショナルデータベース構造ではないデータベースへの探索行為の急増について注意喚起を行っている。
@police資料より |
昨年12月下旬から今年1月にかけて、MongoDBのデフォルトポートとして利用される27017/TCPに対する探索活動をはじめ、CouchDB(5984/TCP)、Elasticsearch(9200/TCP)及びHadoopのファイルシステムHDFSに対する探索行為(50070/TCP)が増加している。
探索実施者の背景や目的は明確ではないものの、認証不要でインターネット上に不用意に公開されているデータベースが消去されたり、ランサムウェアのように身代金要求の対象にもなりかねないため、改めて管理者は注意するよう呼びかけている。
外部からのアクセスを制限する。
インターネット経由で外部からアクセスする必要がない場合には、外部ネットワークからのアクセスを制限したり、ローカルホストのみで運用してください。インターネット経由でアクセスする必要がある場合にも、特定の IP アドレスのみにアクセスを許可したり、VPN を用いて接続することを検討してください。
適切な認証を実施する。
外部からのアクセスを許可する必要がある場合には、適切な認証を実施してください。ユーザ名とパスワードによる認証を実施する場合には、推測されにくいものを使用してくだ さい。
データのバックアップを取得する。
万が一、攻撃者にデータを消去されても、バックアップを取得していればデータを回復することが可能です。適切なバックアップを取得してください。
データの暗号化を実施する。
データを消去する前にバックアップを取得した旨の攻撃者の主張が正しいとは限りませんが、その様な行為があった場合には、保存されていたデータが外部に流出している可能性があります。意図しないデータの流出を防止するため、データの暗号化を検討してください。
ソフトウェアのバージョンアップを適切に実施し、最新の状態に保つ。
データ消去事案と直接の関連はありませんが、今後ソフトウェアに脆弱性が明らかとなった場合には、インターネット上からアクセス可能なサーバは、脆弱性を悪用する攻撃に直 接晒される可能性があります。ソフトウェアを常に最新の状態に保ってください。
また、ネットワーク監視ツール「OpenNMS」の脆弱性を標的とする1099/TCPへのアクセスも1月10日から増加を観測。Apache Commons Collectionsライブラリの脆弱性に起因するこの脆弱性は、2015年には修復されたバージョン17.0.0が公開されており、今回観測されたアクセスには対応できるが信頼できない相手からのデータ処理は避けるべきであり、当該脆弱性に関する対策のみならず、一般的なソフトウェアを含め以下の対策を推奨している。
外部からのアクセスを制限する。
インターネット経由で外部からアクセスする必要がない場合には、外部ネットワークからのアクセスを制限したり、ローカルホストのみで運用してください。インターネット経由でアクセスする必要がある場合にも、特定の IP アドレスのみにアクセスを許可したり、VPN を用いて接続することを検討してください。
適切な認証を実施する。
外部からのアクセスを許可する必要がある場合には、適切な認証を実施してください。ユーザ名とパスワードによる認証を実施する場合には、推測されにくいものを使用してくだ さい。
ソフトウェアのバージョンアップを適切に実施し、最新の状態に保つ。
インターネット上からアクセス可能なサーバは、脆弱性を悪用する攻撃に直接晒される可能性があります。ソフトウェアを常に最新の状態に保ってください。