2020/07/09

GDPR 違反の申し立てが 2 万 3000 個のデータベースの情報漏えいの強迫に悪用される

Mega Data

2020 年 7 月 9 日 Trevor Collins 著

先週 ZDnet は、MongoDB を使用している 2 万 3000 個のデータベースに影響を及ぼすハッキングを報告しました。攻撃者であるハッカー、あるいはハッカー集団は、設定ミスのあるデータベースに自動アクセスするスクリプトを実行します。ZDnet の報告によれば、オンライン上で公開されている MongoDB のうち 47% が攻撃を受けています。この攻撃は今年 4 月から始まったと見られますが、この手法自体は、公開されている Mongo データベースの攻撃に常に使われています。

今回のケースでは、身代金要求としてターゲットにビットコインを要求しています。支払いに応じない場合は、データを消去するだけではなく、GDPR(EU一般データ保護規則)に違反していることを申し立てるとも書かれています。

データのバックアップはとっています。復旧したければ 0.015 BTC(ビットコイン)を 1MqHUrV5u1h3QoiSifkw4s9QYFJX4gjkn7 宛に 48 時間以内に支払うこと。48 時間が経過したら、すべてのデータを漏洩させます。支払いを拒否した場合は、GDPR に違反していること、ユーザデータを安全ではない方法で保管し、外部に公開していることを申し立てます。法律によって、多額の罰金や、逮捕を命じられることとなります。こちらのサーバにあるデータベースのダンプは消去します。ビットコインは https://localbitcoins.com で購入できます。https://localbitcoins.com/guides/how-to-buy-bitcoins の指示に従って操作すれば、それほど時間はかかりません。支払いが終わったら、データベースの IP を添えて以下にメールを送信してください。restore_base@tutanota.com

このグループが、個々の企業が GDPR に違反しているとことを正式に申し立てる力はないとウォッチガードは考えます。2 万 3000 件の訴えをするだけでも、数週間、数ヶ月はかかるはずだからです。しかしハッカーの手にデータが渡ったとなると、データ管理に関してこれらの企業を信用していたユーザは危機に晒されます。

データ侵害を恐れるデータベース管理者は多いものの、バックアップでデータを完全に取っておくのは簡単で、また安価に実行できます。一方データをハッカーの手に渡らせないことは、比較的難しい問題です。強力なパスワードを使用したり、管理サーバ OS やデータベースソフトウェアにパッチを適用したりすることでリスクを減らすことはできます。IPS(不正侵入検知・防御サービス)のような追加の保護手段を実施することも、攻撃を防ぐのに役立ちます。ウォッチガードは、IPS シグネチャには MongoDB の脆弱性を検出するいくつものシグネチャがあります。これらのシグネチャを設置することで、データベースへの攻撃を特定でき、保護が強化されます。これらの保護対策を適切に講じてあれば、ほとんどの攻撃は防ぐことができます。