ポート番号3306を使用する約360万台のMySQLサーバーが公開され潜在的な攻撃対象となっていることが判明
セキュリティ企業Shadowserverの調べにより、ポート番号3306/TCPでアクセス可能なMySQLサーバーが約360万台も存在しており、サイバー攻撃の対象となる可能性があることが判明しています。
Over 3.6 million exposed MySQL servers on IPv4 and IPv6 | The Shadowserver Foundation
https://www.shadowserver.org/news/over-3-6m-exposed-mysql-servers-on-ipv4-and-ipv6/
2022年5月31日に発表されたShadowserverの報告書によると、デフォルトのポート番号である3306/TCPを使用する約360万台のMySQLサーバーがインターネット上で公開されており、TLS・非TLS接続にかかわらず応答したとのこと。
Shadowserverは調査にあたり、ポート3306/TCPでMySQL接続リクエストを発行し、グリーティングメッセージで応答するサーバーのレスポンスを収集することでスキャンを実行。これには、TLS接続と非TLS接続の両方の応答が含まれました。データベースへのアクセスが可能なレベルを発見するための侵入的なチェックは行いませんでした。
調査の結果、IPv4を用いて3306/TCPで接続するMySQLサーバーの総数は395万7457台、IPv6を用いて3306/TCPで接続するMySQLサーバーの総数は142万1010台であり、そのうちIPv4で227万9908台、IPv6で134万3993台がグリーティングメッセージを返したとのこと。
公開されているIPv4・MySQLサーバーの数が最も多かった国はアメリカで、その数約74万台。このほか、約29万6000台の中国、約20万7000台のポーランド、約17万5000台のドイツが続きます。日本国内では4万9000台が確認されています。
公開されているIPv6・MySQLサーバーの数が最も多かった国もやはりアメリカで、約46万1000台が確認されています。続いて約29万6000台のオランダ、約21万8000台のシンガポール、約17万4000台のドイツが着けています。日本では2000台が確認されています。
影響を受けるIPv4バージョンの上位10件は以下の通り。
バージョン | 数 |
5.7.33-36 | 15万0600台 |
5.6.41-84.1 | 9万2834台 |
5.7.23-23 | 6万9627台 |
5.7.38-0ubuntu0.18.04.1 | 5万9333台 |
5.6.51-cll-lve | 5万8825台 |
8.0.23 | 5万7148台 |
5.5.68-mariadb | 5万5401台 |
5.6.50-log | 5万4574台 |
5.5.5-10.1.48-mariadb | 4万0853台 |
5.7.33-log | 3万5809台 |
影響を受けるIPv6バージョンの上位10件は以下の通りです。
バージョン | 数 |
5.5.5-10.5.12-mariadb-cll-lve | 90万8128台 |
5.7.37-40-log | 14万7072台 |
5.5.5-10.5.13-mariadb-cll-lve | 12万5320台 |
5.5.5-10.5.15-mariadb-cll-lve | 7万2856台 |
8.0.27-18 | 2万0838台 |
5.5.5-10.3.32-mariadb-log | 1万1121台 |
5.7.35-38 | 6640台 |
5.5.5-10.5.15-mariadb-cll-lve-log | 3435台 |
5.7.23-cll-lve | 2085台 |
5.7.33-cll-lve | 1993台 |
Shadowserverは「MySQLサーバーでインターネットからの外部接続を許可する必要はほとんどありません」と忠告。ネットワークや環境に関する報告を受けた場合は、MySQLインスタンスへのトラフィックをフィルタリングし、サーバーに認証を導入して対処するよう述べました。
・関連記事
Instagram・Zoom・LinkedInなどでアカウントの「事前ハイジャック」が可能な脆弱性が発見される - GIGAZINE
数百万ダウンロードされたAndroid向けアプリに影響する深刻度の高い脆弱性の存在が明らかに - GIGAZINE
Windows 11がハッキング大会中に6回もハッキングされる、テスラやUbuntuも餌食に - GIGAZINE
FBIが世界中のネットワーク機器にリモートアクセスしてロシア製マルウェアを削除したことを発表 - GIGAZINE
・関連コンテンツ