ポート番号3306を使用する約360万台のMySQLサーバーが公開され潜在的な攻撃対象となっていることが判明

GIGAZINE



セキュリティ企業Shadowserverの調べにより、ポート番号3306/TCPでアクセス可能なMySQLサーバーが約360万台も存在しており、サイバー攻撃の対象となる可能性があることが判明しています。

Over 3.6 million exposed MySQL servers on IPv4 and IPv6 | The Shadowserver Foundation
https://www.shadowserver.org/news/over-3-6m-exposed-mysql-servers-on-ipv4-and-ipv6/

2022年5月31日に発表されたShadowserverの報告書によると、デフォルトのポート番号である3306/TCPを使用する約360万台のMySQLサーバーがインターネット上で公開されており、TLS・非TLS接続にかかわらず応答したとのこと。


Shadowserverは調査にあたり、ポート3306/TCPでMySQL接続リクエストを発行し、グリーティングメッセージで応答するサーバーのレスポンスを収集することでスキャンを実行。これには、TLS接続と非TLS接続の両方の応答が含まれました。データベースへのアクセスが可能なレベルを発見するための侵入的なチェックは行いませんでした。

調査の結果、IPv4を用いて3306/TCPで接続するMySQLサーバーの総数は395万7457台、IPv6を用いて3306/TCPで接続するMySQLサーバーの総数は142万1010台であり、そのうちIPv4で227万9908台、IPv6で134万3993台がグリーティングメッセージを返したとのこと。

公開されているIPv4・MySQLサーバーの数が最も多かった国はアメリカで、その数約74万台。このほか、約29万6000台の中国、約20万7000台のポーランド、約17万5000台のドイツが続きます。日本国内では4万9000台が確認されています。


公開されているIPv6・MySQLサーバーの数が最も多かった国もやはりアメリカで、約46万1000台が確認されています。続いて約29万6000台のオランダ、約21万8000台のシンガポール、約17万4000台のドイツが着けています。日本では2000台が確認されています。


影響を受けるIPv4バージョンの上位10件は以下の通り。

バージョン
5.7.33-36 15万0600台
5.6.41-84.1 9万2834台
5.7.23-23 6万9627台
5.7.38-0ubuntu0.18.04.1 5万9333台
5.6.51-cll-lve 5万8825台
8.0.23 5万7148台
5.5.68-mariadb 5万5401台
5.6.50-log 5万4574台
5.5.5-10.1.48-mariadb 4万0853台
5.7.33-log 3万5809台


影響を受けるIPv6バージョンの上位10件は以下の通りです。

バージョン
5.5.5-10.5.12-mariadb-cll-lve 90万8128台
5.7.37-40-log 14万7072台
5.5.5-10.5.13-mariadb-cll-lve 12万5320台
5.5.5-10.5.15-mariadb-cll-lve 7万2856台
8.0.27-18 2万0838台
5.5.5-10.3.32-mariadb-log 1万1121台
5.7.35-38 6640台
5.5.5-10.5.15-mariadb-cll-lve-log 3435台
5.7.23-cll-lve 2085台
5.7.33-cll-lve 1993台


Shadowserverは「MySQLサーバーでインターネットからの外部接続を許可する必要はほとんどありません」と忠告。ネットワークや環境に関する報告を受けた場合は、MySQLインスタンスへのトラフィックをフィルタリングし、サーバーに認証を導入して対処するよう述べました。

この記事のタイトルとURLをコピーする

Source