2017/02/28

数百の MySQL データベースがランサムウェアに攻撃される

Server サーバー ラック 大規模 システム

2017 年 2 月 28 日 編集部記事

強力なパスワードと多要素認証でサーバを保護する必要があることは、言うまでもありません。このことを再認識させる事実が、セキュリティベンダーである GuardiCore によって最近発表されました。Facebook、Google、Adobe などでも使用されているオープンソースのデータベースソリューション、MySQL を標的にする新しいランサムウェアが発見されたのです。2 月 12 日、数百の MySQL データベースがランサムウェアに攻撃され、研究者はこれを 1 月の「MongoDB」マルウェア攻撃の亜種であるとしています。

Network World の最近の記事によると、この非情なランサムウェア亜種は、標的としたデータベースを実際に消去して、0.2 ビットコイン(約 234 ドル)の身代金を要求します。身代金は、次の 2 つのいずれかの方法で要求されます。

  1. 「WARNING」というラベルの新しいテーブルが感染したデータベースに追加され、0.2 ビットコイン(BTC)を支払うよう要求します。次に、Tor ブラウザ経由でダークネットサイトにアクセスしてランサムウェアに感染したサーバの IP アドレスを入力するよう指示します。その後、「支払いを確認できたら、データベースダンプへのリンクを教える」オプションが表示されます。
  2. 「PLEASE_READ」という名前のテーブルを含むまったく新しいデータベースが作成されます。データベースは攻撃者のサーバにバックアップされているとし、被害者に 0.2 BTC を要求します。そして、ファイルを取り戻すために tor.com の電子メールアドレスにメールを送信するよう指示します。

悪質な例では、攻撃者が支払いを受け取った後にデータベースを完全に削除してしまい、ファイルを被害者に返されることなく終わる場合もあるようです。

ウォッチガードの CTO、Corey Nachreiner は、このような攻撃の被害を防ぐために、重要なデータを定期的にバックアップすることを推奨しています。けれども、ファイルをバックアップしていなかったとすれば、身代金を払って取り戻すしかないと考えてしまうかもしれません。このような場合は、攻撃者が本当にデータのコピーを持っていて復元できるのかどうかを確認することが重要です。

より有効な対策は、何よりもまず、ランサムウェアがサーバやネットワークに侵入しないようにすることです。最新の UTM ソリューションには、SMB や分散型企業が行動分析を活用して、ランサムウェア攻撃を検知するだけでなく、実際にそれらを阻止するのに役立つモジュールが提供されています。ホストを標的にするランサムウェアの対策の詳細は、こちらを参照してください。

Network World の記事全文をお読みいただき、セキュリティに関するわかりやすいヒントやベストプラクティスについては、Corey の記事「サイバー犯罪対策の 3 つの P」でご確認ください。