現在スキーマレスでビッグデータに対応できるデータベースとしてMongoDBが注目を浴びている。
だが今年2月、セキュリティ会社であるFortinetがリモートアクセスによってデータベースをクラッシュできることを発見した。さらに同社ではその脆弱性を利用してサービス妨害(Dos)攻撃をできることを実証した。
スポンサーリンク
MongoDBでは標準でリモートアクセス時の認証機能がないため、事前に設定をしていなければこの脆弱性を利用して標的となる可能性がある。
問題の脆弱性は古いバージョンで確認されておりMongoDBが3月17日にリリースしたVer.3.01とVer.2.6.9では脆弱性の問題が対処された。
しかしFortinetによると依然としてMongoDBの更新をしない組織が多いと問題を指摘している。
少し話は逸れるが、こういった脆弱性が発見されてから対策パッチが適用されるまでに攻撃することをゼロデイ攻撃という。
悪意を持った攻撃者はこういった情報に非常に敏感であるため、もしあなたがまだ対策バージョンにアップデートしていないなら今にでも早急に対応することをお勧めします。
更新はコマンドでのアップデートまたは本家からのダウンロードで行えます。
MongoDB公式ページ
https://www.mongodb.org/downloads