Impervaは10月24日(米国時間)、「Analysis of a Ransomware Attack on a PostgreSQL Database|Imperva」において、ORDBMS(オブジェクトリレーショナルデータベースマネージメントシステム)である「PostgreSQL」に対するランサムウェア攻撃について、実際に観察された攻撃の手法と最近の特徴について伝えた。これまでの一般的な攻撃手法と異なり、「hit and run」をトレードマークとする攻撃の特徴が観察されたという。
Impervaは、データベースであるMySQLおよびMongoDBを標的としたランサムウェア攻撃について2017年に報じて以来、PostgreSQLに対する同様の攻撃についても観察を続けてきたという。これまでに観察された一般的な攻撃は次の手順によって行われるという。
- 既知のユーザー名と弱いパスワードの組み合わせに対するブルートフォース攻撃を行い侵入する
- すべての論理データベースと、各データベース内のすべてのテーブルの一覧を窃取
- 各テーブルに対して、すべての列の一覧とすべてのデータを窃取。窃取を終えたテーブルを削除
- データベースを削除
- 新しいデータベースとテーブルを作成し、身代金を要求する脅迫文をテーブルに挿入する
最近になり、Impervaは同様のランサムウェア攻撃において興味深い事実を観察したと説明。これまで脅威アクターは各テーブルのすべてのデータを取得していたが、最近は各テーブルの一部のデータを取得するという。これは、脅威アクターにデータを復元するつもりが端からないことを意味しており、被害者をだますためにサンプルデータを取得しただけとのおと。また、最近の攻撃の特徴として、次のようなコマンドの実行が確認されたという。
このコマンドにより、データベースクライアント接続を処理するバックエンドがすべて終了させられる可能性がある。Impervaによると、脅威アクターは隠れてバックエンドを終了させようとはしていないことがわかるという。
脅威アクターは攻撃の最後に身代金を要求する脅迫文を残すが、最近は要求する金額が比較的少額だという。これは巨額の身代金では支払いに時間がかかる可能性があるため、少額にして速やかな支払いを期待しているものと考えられる。これらの特徴から、最近のPostgreSQLを狙うランサムウェア攻撃は「hit and run」、つまり短時間に攻撃から支払いまでを完了させる傾向にあることがわかる。
Impervaはこのような攻撃からデータベースを保護するために、次のような対策を推奨している。
- データベースアクティビティの監視またはネイティブ監査により、ランサムウェアの被害を把握し、状況を正しく理解できるようにする
- 独自のログインプロファイリングを作成して攻撃の可能性のあるログインの失敗を検出するか、リスク分析ソリューションを導入する
- データベースをインターネットに公開せず、VPNなどを使用して保護する。データベースをインターネットに公開する必要がある場合は、デフォルトポートを使用しない
- データベースをファイアウォールの内側に設置する
- データベースのイミュータブルバックアップと災害復旧計画を作成する。また、これらの処理を定期的に観察し、テストする
ランサムウェア攻撃を受けたシステムは、身代金を支払ったとしても多くの場合において100%の復旧はできないとされる。今回確認されたケースでは復旧させるつもりが端からないため、身代金を支払ったとしてもデータはすべて失われる可能性がある。このような攻撃からデータベースを保護するためには、上記のような対策を実施して攻撃から確実にシステムを保護する必要がある。