Kromtechは3月22日(ドイツ時間)、「How long does it take for a MongoDB to be compromised」において、設定が不適切なMongoDBが依然としてサイバー攻撃の対象になっていると伝えた。同社が調査のために設置したMongoDBはすぐに外部からスキャンを受け、数日後にはデータの削除と身代金の要求が行われたという。

設定が不適切なまま放置されているMongoDBが多数存在していることは5年前から指摘されている。Kromtechが調査した結果、こうした不適切な状態のMongoDBはいまだ多数存在しており、攻撃の対象となっていることが指摘されている。

  • MongoDBハニーポット被攻撃タイムライン - 資料: Kromtech提供

    MongoDBハニーポット被攻撃タイムライン - 資料: Kromtech

  • 攻撃者によって残された脅迫文 - 資料: Kromtech提供

    攻撃者によって残された脅迫文 - 資料: Kromtech

攻撃はスクリプトによって自動的に実施された可能性が高いとしている。脅迫文ではデータを復旧したい場合はビットコインで身代金を支払うように求めているが、データは削除されているため、身代金を支払ってもデータが復旧されることはないという。

KromtechはMongoDBを適切な状態に設定することを推奨するとともに、もしこうした攻撃を受けてデータが削除されたとしても、データが復旧することは考えにくく、身代金支払いには応じないように求めている。