MySQLの脆弱性を悪用して拡散 ランサムウェア「GandCrab」攻撃の手口：データベースサーバの開放ポートから侵入

攻撃者がランサムウェア「GandCrab」の標的を探して、WindowsのMySQLサーバをスキャンしていることをセキュリティ研究者が発見した。対策は比較的簡単にできる。

[Michael Heller，TechTarget]

　攻撃者が、リレーショナルデータベース管理システム（RDBMS）「MySQL」が稼働しているサーバをスキャンし、脆弱（ぜいじゃく）性の悪用を試みていることが、新たな調査で判明した。ランサムウェア（身代金要求型マルウェア）の「GandCrab」を拡散させるためだ。

　これを発見したのはセキュリティベンダーSophosで主席研究員を務めるアンドリュー・ブラント氏だ。ブラント氏は、ハニーポット（おとり）のMySQLサーバに対する攻撃を検出し、GandCrabをインストールしようとする動きを見つけた。攻撃者は侵入先のエンドポイントで中国語のユーザーインタフェースを操り、GandCrabをダウンロードしようとしていた。

併せて読みたいお薦め記事

企業が対処すべきセキュリティリスク

• パスワード定期変更の強制で浮かび上がるユーザーとIT部門の対立構造
• 2018年でサポート終了のPHP バージョン5、企業に迫る深刻な脅威

RDBMSの活用方法

• オープンソースRDBMSのコストメリットと懸念点を考える
• PostgreSQLの全面採用で脱Oracleを推進する英気象庁
• mixiの生みの親“バタラ氏”が語るMySQLの意外な利用法

データベース連携用のポートが狙われる

　MySQLはOracleが開発を主導するオープンソースのRDBMSだ。上述の攻撃がどれほど横行しているのかについてブラント氏はコメントしていない一方で、「この中国語のユーザーインタフェースには、GandCrabが配布元のサーバからダウンロードされた数が示されていた」と指摘する。その数は3000件を超えていたという。

　ブラント氏はGandCrabによる攻撃の状況について、ブログの中で次のように解説する。