データベースの中身がほぼ削除されてネコの鳴き声だけが書き残される謎の「ニャー攻撃」が活発化

インターネット上の保護されていないデータベースのほぼすべてが削除され、「Meow(ニャー)」というネコの鳴き声だけが書き残される「Meow Attack(ニャー攻撃)」が報告されています。記事作成時点で既に4000近くのデータベースがニャー攻撃によって削除されてしまったとのことです。

New ‘Meow’ attack has deleted almost 4,000 unsecured databases
https://www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/

Ongoing Meow attack has nuked >1,000 databases without telling anyone why | Ars Technica
https://arstechnica.com/information-technology/2020/07/more-than-1000-databases-have-been-nuked-by-mystery-meow-attack/

セキュリティ研究者のボブ・ディアチェンコ氏は2020年7月1日、香港を拠点とするVPNプロバイダー・UFO VPNのデータベースがインターネット上に保護されていない状態で公開されていたことに気づきました。このデータベースには、プレーンテキストでのアカウントパスワード、VPNセッションのトークン、VPNサーバーのIPアドレス、接続のタイムスタンプ、ジオタグなどが含まれていたそうです。

ディアチェンコ氏がUFO VPNにすぐに警告を行ったことでデータベースは保護されましたが、2020年7月20日に再びUFO VPNのデータベースが別のIPアドレスで公開されてしまいました。しかも、別のIPアドレスで再公開されたデータベースには、7月19日時点でのデータ差分が追加されていたとのこと。さらに、2020年7月21日になって、このデータベースの中身がほとんど削除され、「meow」と末尾に記された文字列が残されていたと判明しました。

また、このニャー攻撃の標的になったのはUFO VPNのデータベースだけではありませんでした。記事作成時点でニャー攻撃を受けたデータベースは、ElasticsearchやMongoDB、Apache Cassandraのものを含めて4000件以上に及びます。ディアチェンコ氏は、「ニャー攻撃がインターネット上に公開された安全でないデータベースすべてを標的にしているようです」と主張し、このニャー攻撃はスクリプトによるものだろうと推測しています。

インターネット上で無防備に公開されてしまっているデータベースが悪意ある攻撃者の標的になることは珍しくありませんが、だいたいの場合はランサムウェアによって身代金を請求するか、すっぱりと中身を削除するだけの場合がほとんど。攻撃者が今回のように「ニャー」という言葉を残していく動機は、まったくわかっていません。

セキュリティ研究者のAnthr@X氏は、ニャー攻撃がProtonVPNを介して行われていたとTwitterで報告しています。しかし、それ以外の攻撃者の情報はやはり不明で、記事作成時点でも調査が続けられています。

この謎のニャー攻撃についてディアチェンコ氏は、「インターネット上にある安全でないデータベースが簡単に攻撃可能なほど無防備なので、悪意ある攻撃者が面白半分でやっているのでしょう。今回のニャー攻撃は、サイバー衛生を無視して顧客のデータを一瞬にして失う業界や企業に対して、警鐘を鳴らしています」と語りました。