イランのスタートアップ企業が最近、大規模なデータ侵害に見舞われました。数百万件ものユーザーデータがインターネット上に公開され、その後、ボットを介したサイバー攻撃によって破壊されました。この混乱は、悪意のある人物が安全でないデータベースを探してウェブを巡回し、そこに飛びついてデータを盗んだり破壊したりするという、現在も続いている傾向の一環と思われます。
2017年に設立されたRaychatは、ビジネスおよびソーシャルメッセージングアプリケーションとして名を馳せようと努めてきました。企業やウェブサイトと提携し、販売や顧客サービスなどに活用されています。数年前にはイランで開催されたシルクロード・スタートアップ・サミットで紹介され、ソーシャルエンゲージメントなどの指標でスタートアップを評価するウェブサイトでは、イランで人気の新興企業の一つに挙げられています。
しかし、最近まで同社はユーザーデータを、設定ミスのあるMongoDBデータベースに保存していました。MongoDBはNoSQLデータベースであり、ストレージアプリケーションの一種で、アプリ企業が大量のユーザーデータを処理するために頻繁に利用されています。しかし、設定ミスがあると、NoSQLは数百万ものドキュメントを無防備な状態にしてしまう可能性があります。今回のケースでは、悪意のある人物がRaychatの正面玄関から侵入し、ボット攻撃を仕掛けることができました。Raychatは、この攻撃によってデータベースが破壊されたことを認めています。この侵害は、セキュリティ研究者のボブ・ディアチェンコ氏によって発見されました。
イランで人気のビジネス&ソーシャルメッセンジャーRaychat(@Raychat_io)が、データベース全体(2億6,700万件以上のアカウント名、メールアドレス、パスワード、メタデータ、暗号化チャットなど)を公開しました。データベースは現在ボット攻撃によって破壊されています。同社からの回答はありません。pic.twitter.com/rC4Uvm2U97
— ボブ・ディアチェンコ🇺🇦 (@MayhemDayOne) 2021年1月31日
ディアチェンコ氏は、インターネットに接続されたデバイスを検索するために使用されるShodanなどの公開オープンソース検索ツールを使ってこの脆弱性を発見したと述べています。Mongoのような多くのNoSQLデータベースは、「悪意のある攻撃者がインターネットをスキャンして保護されていないデータベースを探し出し、その内容を消去し、身代金要求のメッセージだけを残すボット攻撃の標的」になっていると、ディアチェンコ氏はTwitterのダイレクトメッセージで述べています。Comparitechの最近のレポートでは、ボットネットがどのように活用され、大量のデータソースをスクレイピングしてダウンロードし、元のデータを破壊するのかを詳細に説明しています。
[ハッカーは] …サーバー上のデータを改ざんまたは破壊する悪意のあるリクエストを使用します。多くの場合、データは削除される前に攻撃者によってダウンロードされます。その後、攻撃者はデータの安全な返却と引き換えに身代金を要求するメモを残します。
Raychatのケースでは、READMEファイル形式の身代金要求メッセージがポップアップ表示され、0.019ビットコイン(現在の為替レートで約700ドル)を要求されたとディアチェンコ氏は述べている。アプリのデータの大部分が破壊される前にダウンロードされていた可能性はあるものの、その可能性は低いとディアチェンコ氏は述べた。このようなケースでは、ハッカーは「コピーしたと主張する量のデータをすべて技術的に保存することはできない」とディアチェンコ氏は述べた。
ディアチェンコ氏はRaychatに連絡を取ったが、当初は返答がなかったという。ディアチェンコ氏がTwitterに調査結果を報告すると、Raychatはすぐに情報漏洩を認め、ボット攻撃の被害を受けたことも明らかにした。同社はウェブサイトで声明を発表し、ディアチェンコ氏のツイートに言及するとともに、ユーザーにご迷惑をおかけしたことについて謝罪した。「現時点では情報漏洩の証拠はありません」と声明には記されている。攻撃は情報漏洩発覚直後に発生したとみられる。
共同創業者のガデル・サデギ氏はメッセージの中で、ディアチェンコ氏が侵害の性質を評価する上で協力してくれたことを確認した。「彼にメールを送りました」とサデギ氏は述べ、ディアチェンコ氏がMongoDBの設定ミスの特定に協力してくれたことを明らかにした。サデギ氏は、ユーザーに対する同社の反省と改善への意欲を強調した。同社はユーザーデータはバックアップされており、まもなく復元されると述べている。Twitter経由で連絡を取った広報担当者は、攻撃の背後に誰がいるのか「全く分からない」と述べた。サデギ氏は、法務チームが調査中だと述べた。
大事なことは、自分のことを忘れないことです。 در این ایمیل هیچ لینکی برای تعویض پسورد ارسال نشده。 और देखेंありがとうございます
— レイチャット | رایچت (@Raychat_io) 2021年1月31日
同社関係者はフィッシング攻撃の可能性についても懸念しているようだ。1月31日のツイートで同社は、「Reichet [Raychat] の全ユーザーにパスワード変更のメールを送信しました。このメールにはパスワード変更リンクは記載されていません。パスワード変更リンクが記載されたメールを受信した場合は、絶対にクリックしないでください」と警告している。また、12月のツイートによると、同社は最近、別のサイバー攻撃を受けた模様だ。
イランのスタートアップ・エコシステムは現在、特に脆弱な状況にあります。2012年から2016年にかけての一時的な「ブーム」の後、イランの新興企業は主に米国の制裁と新型コロナウイルス感染症のパンデミックの影響で、かなり厳しい時期を経験しました。そこにサイバー攻撃が加わると、状況は特に悪化します。
