警察庁はこのほど、「ビッグデータ」などで利用され、注目を浴びているNoSQLデータベースであるMongoDBに対する探索行為が高水準で推移していると注意喚起を行っている。その他2種類のNoSQLデータベースに対しても探索行為が増加しているという。
2月にも、この「NoSQL」に分類されるデータベースに対する探索行為の増加について注意喚起を実施しているが、その後もMongoDBデータベースの情報収集を試みる問い合わせが依然として高い水準にあるという。
|
MongoDB に対する問い合わせ内容別アクセス件数の推移(H27.1.1~3.28) |
同庁は、MongoDBデータベースの情報収集を試みる問い合わせを行っている発信元IPアドレスについて調査を実施。その多くは、インターネットセキュリティの向上を目的として、攻撃を受ける可能性があるサービスが稼動しているIPアドレスの探索などの活動を実施している非営利組織(非営利組織A)や、あらゆるサービスに対して探索を実施して結果を蓄積するとともに、結果の検索サービスを提供するサイト(検索サイトB)が管理すると考えられるIPアドレスからのアクセスだった。また、ドイツのザールランド大学が管理するIPアドレスからのアクセスも確認している。
|
発信元IPアドレスのDNS逆引き結果別のMongoDB問い合わせ件数割合(H27.1.1~3.28) |
しかし、クラウドコンピューティングサービスなどを利用してアクセスを試みており、その背景や目的が判明しないアクセスも観測してことから、データの窃取等を目的としてアクセスを実施している者が存在する可能性も十分に考えられるため、注意が必要としている。
|
宛先ポート6379/TCPに対するアクセスの発信元IPアドレス数の推移(H27.1.1~3.28) |
また、「NoSQL」に分類される代表的なデータベース管理システムが初期値として使用するポートに対するアクセスの観測状況を調査したところ、Redisで使用される6379/TCP及びmemcachediで使用される11211/TCPに対するアクセスにおいて、1月中旬から発信元IP数が高い水準で推移していることも確認されている。
|
宛先ポート11211/TCPに対するアクセスの発信元IPアドレス数の推移(H27.1.1~3.28) |
これらのデータベース管理システムを使用している企業や組織においては、「外部からのアクセスを制限」「適切な認証を実施」の対策を早急に実施することを推奨している。
