ランサム攻撃からデータを守るには

編集者注(2021年8月3日):この投稿は廃止予定の機能を使用しています。現在の手順については、逆ジオコーディングを使用したカスタム地域のマッピングドキュメントを参照してください。

Elastic Stack 6.8/7.1以降に関する大切なお知らせ デフォルト配布のElastic Stackで、主要なセキュリティ機能を永久に無料でお使いいただくことができるようになりました。TSL暗号化やユーザー認証、ロールベースのアクセス制御をはじめとする機能が含まれます。実装方法について詳しくは、「Elasticsearch Securityを使いはじめる」でご紹介しています。

先週後半に、悪意のある攻撃が開始されました。この攻撃で、何千ものオープンソースのデータベースからデータがコピーまたは削除されたり、「身代金」を支払うまでシステムが使用不能な状態に陥るという事態が生じました。この攻撃ではマルウェアやいわゆる「ランサムウェア」は使用されず、製品の脆弱性も関係なかったにも関わらず、データの消失から漏洩に至る重大なセキュリティインシデントに発展しました。唯一の慰めは、今後同様の攻撃を受けたとしても、適切な設定をしておけば、消失したデータを簡単に復元できるという点です。

このような事件は、すべてのElasticsearchインスタンス、特にインターネット経由でアクセス可能なインスタンスを保護することがいかに重要かということを再認識する良い機会です。  


Elastic Cloud を使用していれば、個々のパスワードが無作為に割り当てられるX-Pack securityでクラスタは保護されますので、安心です。クラスタは、お客様が選んだAWSリージョン内で、二重のファイヤウォールとプロキシの裏側にデプロイされます。インターネットからの通信はTLSで暗号化され、クラスタデータのバックアップはElasticによって2日間保管されます。


Elastic Cloudをご利用でない場合、保護されていないElasticsearchインスタンスはインターネットに晒さないことを強くお勧めします。2013年のブログ記事を参照してください。Elasticでは、インストールしたての状態では、サービスをローカルホストのみにバインドすることで、セキュリティの強化を図ってきました。それでも、インターネットからアクセス可能な状態でありながら、保護されていないインスタンスが増えていることも認識しています。


保護されていないインスタンスがインターネットからアクセス可能な状態であるなら、ただちに次のような対応策を講じて、データを保護することを強くお勧めします。

  • すべてのデータのバックアップを実行して安全な場所に保管し、Curatorでスナップショットを実行する
  • 切り離された、インターネットから直接アクセスできないネットワークでElasticsearchを実行するように構成を変更する
  • どうしてもインターネット経由でクラスタにアクセスする必要がある場合は、インターネットからクラスタへのアクセスを、ファイアウォール、VPN、リバースプロキシ、その他のテクノロジ経由に限定する

さらに、ベストプラクティスの一環として、次のことを常に実行することをお勧めします。