1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. MongoDBのインスタンスは依然としてサイバー攻撃の標的になっている

MongoDBのインスタンスは依然としてサイバー攻撃の標的になっている

セキュリティニュース

投稿日時: 更新日時:

MongoDBのインスタンスは依然としてサイバー攻撃の標的になっている

MongoDBを狙った「身代金要求(いわゆるMongoDBランサム攻撃)」は過去の流行ではなく、いまも継続している脅威だとする調査レポートが公開されました。

このサイバー攻撃はゼロデイや高度なマルウェアに依存せず、インターネットに公開された未認証のMongoDBという設定ミスを起点に、データの削除と身代金要求を自動化して回す点が特徴です。

関連:【2025年】ゼロデイ攻撃の事例

攻撃の基本パターン

レポートが示す典型的な流れはシンプルです。

攻撃者は公開されたMongoDBを見つけると、データの持ち出し(または削除)を行い、コレクションやDBをドロップして、代わりに身代金メモを格納したコレクションを残します。

要求額は少額(数百ドル相当の暗号資産)に設定されることが多く、短い支払い期限(例:48時間)を設けて心理的圧力をかけます。

脆弱性ではなく設定ミスなどの「露出」が主因

この脅威の本質は、ソフトウェア欠陥の悪用というより、運用上の近道が積み重なって生じる恒常的な露出です。

チュートリアル、コンテナイメージ、コピペ設定などにより「とりあえず動く」構成が広まり、結果として0.0.0.0バインドやポート公開、認証未設定が温存されやすいと指摘されています。
そのため、攻撃者から見れば安価でスケールしやすく、被害組織から見れば復旧コストと業務影響が大きい割に合わない構図が続きます。

実態

調査では、未認証で外部公開したMongoDBハニーポットを複数地域に配置したところ、数日以内にすべてのサーバで身代金メモが確認されたとしています。

過去(2017〜2021年)に盛んだったMongoDBランサムの手口が、形を変えずに継続している状況が裏付けられています。

攻撃の背景にある教材化と供給網リスク

レポートは、ダークウェブ/Tor上で「MongoDBの身代金要求を稼ぐ手段として解説する投稿」が流通している点を取り上げています。高度な技術を要しない作業手順として共有されることで、模倣犯が増えやすい土壌ができてしまいます。


加えて、Docker Hub等における公開イメージの分析では、外部到達可能な構成につながり得る設定例が多数確認されたとされます。

こうした供給網(イメージ・サンプル設定)の便利さが、結果的に露出を量産する要因になり得ます。

露出しているサーバの約45%が侵害済み

Shodanベースの分析として、インターネット上で発見可能なMongoDBサーバが20万台規模で存在し、そのうち約3,100件がアクセス制限なしで完全露出していたとされています。

さらに、この完全露出群のうち約45.6%(1,416件)が既に侵害され、データ削除と身代金メモ置換が確認されたという結果でした。
ここから読み取れるのは、攻撃が「広く薄く」当たっているだけでなく、露出している環境は相当な確率で実害に至るという現実です。

単一アクター優勢を示すウォレット集中

身代金要求で使われるビットコインウォレットが少数に集中しており、特定ウォレットが大半の事案に登場する点も重要な示唆です。

これにより、少なくとも観測範囲では単一(もしくは非常に限られた)攻撃主体が支配的である可能性が高いと示されています。


また、侵害されていない残りの露出サーバ群について、支払いの有無などで「見かけ上の状態」が変わり得る点にも触れられており、攻撃者の収益推定に幅が出る構造が示唆されています。

MITRE ATT&CKで見る行動モデル

レポートでは、技術的に単純でも攻撃ライフサイクルが成立している点が強調されています。概ね以下に整理されます。
公開サービス探索(スキャンや検索)→DB列挙→データ収集(価値確認)→データ破壊(ドロップ)→業務妨害→恐喝(身代金メモ挿入)という流れで、権限昇格や横展開をしなくても成立するのが特徴です。

IOC(詳細)

観測・分析の観点で押さえるべき指標は次のとおりです。

  • ネットワーク/露出

    • MongoDBの標準ポート 27017/TCP がインターネット到達可能

    • 認証無効(未設定)・アクセス制御不在

  • 被害の痕跡(データ面)

    • 既存DB/コレクションの削除・ドロップ

    • 新規に作成されたコレクション内に身代金メモが存在

    • 身代金メモに「短時間の期限(例:48時間)」や「支払いを促す文言」

  • 金銭要求の特徴

    • 0.005 BTC前後(レポートでは数百ドル相当の水準が多いと整理)

    • ウォレットが少数に集中(特に特定ウォレットが大半を占める傾向)

    • 代表例として、観測上大半で登場したウォレット:

      • bc1qe2l4ffmsqfdu43d7n76hp2ksmhclt5g9krx3du

  • 運用・構成のリスクサイン

    • コンテナの安易なポート公開(例:ホストへの直マッピング)

    • サンプル設定の流用、公開イメージのそのまま利用

推奨される対策

有効な対策は、難しい検知よりもそもそも露出させない設計に寄せることです。

  • MongoDBをインターネットへ直接公開しない(原則)

    • プライベートネットワーク、VPN、踏み台等に限定します。

  • 認証・認可の強制

    • 最小権限、ロール分離、不要ユーザーの排除を徹底します。

  • ネットワーク制御

    • FW/SG/NACL/K8s NetworkPolicyなどで送信元を明示的に制限します。

    • 27017/TCPの外部開放を棚卸しし、例外を作らない運用にします。

  • コンテナ/IaCの衛生管理

    • 公開イメージやチュートリアルのデフォルトを安全とみなさない運用にします。

    • CI/CDで「外部公開+認証なし」を検出・ブロックできるルール化が有効です。

  • 継続監視

    • ASM/CSPM、外部公開資産の定期点検、自己環境の自分でShodan的チェックを習慣化します。

侵害が疑われる場合の初動

  • 直ちに外部公開を停止し、到達経路を遮断します。

  • バックアップの健全性確認(改ざん・欠損の有無、復元手順の実地確認)を行います。

  • ログ(DB・OS・ネットワーク)を保全し、削除・ドロップ操作や不審接続を確認します。

  • 身代金支払いは復旧保証にならないため、バックアップからの復元と再発防止を優先します。

まとめ

MongoDBランサムは「復活」ではなく、露出が続く限り終わらないタイプの脅威です。

攻撃の巧妙さよりも、設定の近道が組織内に温存されることがリスクを拡大します。MongoDBを使う組織は、脆弱性対応だけで安心せず、インターネット露出・認証未設定・コンテナ設定の流用といった事故の起点を潰すことが最善防御になります。

出典

MongoDB Ransom Isn’t Back – It Never Left

関連記事

クラウドセキュリティ認証はどうやって取得する?認証取得の流れを解説クラウドセキュリティ認証はどうやって取得する?認証取得の流れを解説 ISMS クラウドセキュリティ認証を取得するメリット・デメリットを解説ISMS クラウドセキュリティ認証を取得するメリット・デメリットを解説 NEC「Aterm」シリーズのWifi ルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性もNEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も ISMSクラウドセキュリティ認証とは?クラウドサービスの安全性を証明する認証制度を解説ISMSクラウドセキュリティ認証とは?クラウドサービスの安全性を証明する認証制度を解説 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 Phobos/8Base ランサムウェアの復号ツールが公開-警察庁が無償提供Phobos/8Base ランサムウェアの復号ツールが公開-警察庁が無償提供 エプソン製プロジェクターのWeb管理機能に深刻な脆弱性(CVE-2025-64310)エプソン製プロジェクターのWeb管理機能に深刻な脆弱性(CVE-2025-64310) シスコ製メールセキュリティ製品を狙うサイバー攻撃-独自バックドア「AquaShell」を確認シスコ製メールセキュリティ製品を狙うサイバー攻撃-独自バックドア「AquaShell」を確認 WordPress プラグイン「Sneeit Framework」に深刻な脆弱性(CVE-2025-6389)WordPress プラグイン「Sneeit Framework」に深刻な脆弱性(CVE-2025-6389)