SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2021年2月5日号

***************************************************************
 MySQLサーバの管理者権限2720件の流出を確認
***************************************************************
MySQLとは、世界中の多くの企業が使用しているオープンソースのデータベース管理システムであり
大容量のデータを高速に処理可能なため、レンタルサーバーや検索エンジンでも使用されている。

企業で利用しているWebやメールなど様々なサーバでも利用されていることが多く、私たちがアプリ
などで様々な情報検索などを行う際、瞬時にその条件に適合した情報を表示してくれている。
通常MySQLは管理者権限があり、その管理者権限でログインすれば全ての操作が可能になる。

2月2日このMySQLの管理者権限が中国ブラックマーケットに流出し【ハッカーフォーラム】で情報
共有されていることが分かった。
流出した総数は2720件で、この中には日本のIPアドレスが35件含まれている。
情報の中にはIPアドレス/国名/Network Name/Owner Nameに加え、ログインユーザー名/
パスワード/更に接続テスト結果【succeed】などが含まれている。
そして流出している管理者権限のほとんどは安易なユーザ名とパスワードであった。

流出した日本のIPアドレスをIPアドレスやドメイン名から登録者情報を参照できるサービス「whois」
で検索すると該当IPアドレスを保有するプロバイダー10社が確認できた。
中にはWebサーバとして利用している企業のサイトも存在していた。

おそらく該当IPアドレスは保有するプロバイダーから企業や団体に貸し出しているサーバであり、電気
通信事業法等で定められている「通信の秘密」により、プロバイダーが借主のサーバの状況を調査
することはできないため借主が直接確認、修正するしか方法はない。

しかしそのサーバを借りている企業や団体はシステムに詳しい人がいるとは限らず、確認すらすることも
できない場合が多い。
そのまま放置すれば、ログイン情報を知るサイバー攻撃者が管理者権限でログインしサーバの不正
利用や情報搾取が可能となる。

もしこれがショッピングサイトで個人情報やクレジットカード情報を入力、保存するサイトであれば、
買い物をした人の情報は全て抜き取られる事になる。
企業の重要情報を保存するデータベースサーバであれば、残念ながら全ての情報は流出している
と思った方がいいだろう。

SIPSでは2012年頃から約8年間で日本のサーバに対するハッキングにより管理者権限が流出して
中国ブラックマーケットで情報共有しているIPアドレス数を40万件以上確認している。
この数年中国政府の規制により、ハッキングによるIPアドレス流出情報サイトが閉鎖され、確認する
ことが以前より難しくなってきていて確認できる数は激減してきているが、実態は以前以上にあると
考えられている。

約8年で40万件であることから、平均すると【年間5万件】の日本のサーバがハッキングにより管理者
権限を奪われ不正利用されていることになる。
SIPSではハッキングされ管理者権限を奪われた世界中のサーバを検索することができるオリジナル
ツールを有しているため、日本のハッキングされたサーバのIPアドレスも即時確認できる。
これにより40万件以上の該当するIPアドレスを保有するプロバイダーは100社を超え、中には自治体
や大学等も多数含まれている。

この40万台以上のサーバが全てハッキングされてから放置されているとは思わないが、残念ながら
かなりの割合でハッキングされていることを知らずに使い続けている企業や団体も多く存在していると
考えられる。

今回はMySQLに関する管理者権限情報の流出確認であったが、他にも以下のタイプがある。
SSH          IPカメラ
PHP MyAdmin   FTP
VPN          MSSQL
TOMCAT       VCN
RDP

昨年11月にはダークウェブ上にFortinet社製VPNの脆弱性が存在するIPアドレス情報が5470件
公開されて大きなニュースとして取り上げられたが、中国ブラックマーケットでは、その10倍の年間5万
件以上の管理者権限情報がハッカー達に情報共有されているのである。

日本はこのようなインターネット環境でビジネスを行っているのだから、情報が流出するのは当たり前で、
利便性ばかりを追求したシステムで個人情報を含む重要情報を取り扱うサイトなどからは、大量の
情報流出事故が発生してしまっている。 

クラウドサービスを代表するようにインターネットを経由したビジネスが日常化してきているが、利用する
企業は自社データのセキュリティは自社で守ることを考えなければならない。
有名なプロバイダーだから安全、大手企業だから安心という事はないと思った方が良い。
ましてコロナ禍で増加したテレワークでは一人一人のセキュリティなど担保できない。

昨今ではゼロトラストという全てのトラフィックを信頼せず攻撃されることを前提にしたセキュリティ対策
が話題に上がることも多いが、「攻撃されることを前提・・・」ではなく【既に攻撃されている】のである。
年間5万件の管理者情報が流出しているとすれば、1日137件のサーバ管理者権限が流出してい
る事になる。

被害が最小限に済むように、今から再度サーバのセキュリティ状況を確認することをお奨めしたい。
---------------------------------------------------------------------------------
 <参考URL>
SouthPlume:2021/2/2
MySQLサーバ接続情報2720件流出‼
http://www.southplume.com/news20210202.html

日経XTECH:2021/1/29
慶応大学にサイバー攻撃、授業支援システムが狙われた理由
https://xtech.nikkei.com/atcl/nxt/column/18/01157/012700028/?fbclid=IwAR10q_AFzDgBixh0qpOzQKdILqqNapF6YwH5vsbsobFNgxvkLTYFA9eCEic

Security NEXT:2021/2/3
相談窓口の顧客情報に外部アクセス、設定不備で - バンダイ
https://www.security-next.com/123000

SCAN NetSecurity:2021/1/20
丸紅パワー&インフラシステムズのファイルサーバに不正アクセス、従業員情報などが流出の可能性
https://scan.netsecurity.ne.jp/article/2021/01/20/45068.html

Security NEXT:2021/1/29
テレワークのセキュ課題、投資増とガバナンス - IPA調査
https://www.security-next.com/122917

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved