MongoDBからの注意喚起

MongoDBは、人気のNoSQLデータベースです。
ドキュメント指向であり、インメモリ型であり、データベースではあるのですが、コレクション間の事前定義された関係を使用しないタイプのデータベースです。
従来のリレーショナルデータベースとは性質が異なり、プログラムの中のデータ構造をそのままデータベースの中で保持できるといった類の使い勝手のデータベースになっています。
データベースへの入力データ構造はJSONですので、アプリケーションで利用しやすいものといえます。

このMongoDBは、まずはオンプレミスで利用することのできるフリーウェアとして人気が高まりました。
その後、MongoDBのためのシステムを自身で用意する必要のないサービスとして、MongoDB Atlasがリリースされました。
これはSaaSとなっていて、いくつかのサービスプランで利用できるようになっています。
最も手軽なプランは無償で利用開始できますし、アカウント登録に際してクレジットカード情報が必要ありませんので、個人としても利用しやすいものとなっています。

このMongoDB Atlasを展開する会社から、侵害事件があったニュースが案内されました。
まだ事件が発覚してから時間があまり経過していないこともあり公表されている情報は多くありませんが、次のような発表がありました。

• 侵害の事象を確認
  米国時間の2023/12/13に、MongoDBは不審なアクティビティを検出しました。
  社は直ちにインシデント対応プロセスを開始しています。

   

• 侵害の事象を公表開始
  米国時間の2023/12/16に、MongoDBは不審なアクティビティを検出したことを公表し始めました。
  不審な活動の範囲は、まだ明確ではありませんが、この時点ではMongoDB Atlasの内容へのアクセスは確認されていないという案内となっています。

   

• 侵害の事象の続報1
  米国時間の2023/12/16に、MongoDBの提供するログイン機構へのログイン試行が増えていることが案内されています。
  一定期間に一定回数以上のログインを失敗すると、アカウントへのログインが通常に実施できない状態に遷移する機構が実装されている関係で、通常のユーザのログインに支障が出ている事象が案内されています。
  しかし、これは漏洩したアカウント情報を悪用されたということとは無関係であると考えられるものだと案内されています。
  たしかに、有効な情報が入手されてしまっているならログインは失敗しないわけですので、この案内は確からしく思えます。
  侵害事象の公表情報を確認した別の人による活動ということなのかもしれません。

   

• 侵害の事象の続報2
  米国時間の2023/12/17に、調査状況の追加情報が案内されています。
  不正アクセスがあった範囲はMongoDBの顧客アカウントのなかのユーザ名や電話番号やメールアドレスなどが参照されていた可能性があるということです。
  全ユーザということではないようで、関係する顧客には個別の案内がなされたということですので、利用している方でも案内がなかった場合には対象範囲には入っていなかったということになりそうです。
  なお、MongoDBのSaaSであるMongoDB Atlasのデータに対しては、被害範囲には含まれていないということも案内されています。
  別のシステムを介して認証することが必要な仕組みで動作していたために侵害されていないということです。

この件については、もうしばらく続報が続くのかもしれません。

侵害事件は当事者もそうですが、なんらかの関係のある組織も対応が迫られることがあり、大変です。
この事例はまだ新しい事例で今後も調査が続いていくことと思いますが、今回のようにタイムリーに情報の公開が行われていく様子を見ると安心感が違うと感じます。

今回の件に関連して、ソーシャルエンジニアリングに気をつけましょう、フィッシングに注意しましょう、ということは重要です。
しかし、そういった直接的なことだけでなく、自組織の危機対応の準備も忘れないようにしたいものです。

参考記事（外部リンク）：MongoDB Security Notice
www.mongodb.com/alerts#general