Blog

Remote.Itの無料MySQLポートスキャンツール

2022年7月19日

MySQLオープンポートスキャンツールが利用可能

MySQLデータベースが公共のインターネットからアクセス可能かどうかをテストします。

Shadowserver foundationは先日、ポート3306/TCPのMySQLサーバーインスタンスのスキャン結果を公表しました。全世界で360万台以上のMySQLサーバーがアクセス可能であった。これらのデータベースのほとんどすべてについて、一般市民がアクセスするユースケースはなく、これらのサーバーが存在することさえ知られていません。Shadowserverは、各国政府、ネットワークプロバイダー、企業、金融機関、学術機関、法執行機関などと協力し、セキュリティの脆弱性を明らかにし、悪質な活動を暴露して、被害者の修復を支援しています。

MySQLオープンポートスキャナーを試す

2022年5月、ポート3306TCPでアクセス可能なMySQLサーバーインスタンスをスキャンしていた。ポート3306は、デフォルトのMySQLポートです。このスキャンでは、あらゆるデータベースへのアクセスレベルを発見するための侵入的なチェックを行うことなく、MySQL Server Greetingを開始しました。 その結果、全世界で360万台のMySQLサーバーがアクセス可能で、230万個のIPv4アドレスと130万個のIPv6デバイスがクエリに応答しました。

ユニークなIPv4でアクセス可能なMySQLサーバ、Copyright Shadowserver Foundation

なぜユーザーはポートを開放しているのか?

開発者がプライベートIPアドレス空間内のリソースにアクセスする必要がある場合など、オープンIPポートを持つ正当な理由は数多くあります。このようなリソースは、社内のオンプレミスであったり、Amazon AWS、Google Cloud Platform、Microsoft Azureなどのパブリッククラウドでホストされている可能性があります。さらに、人事、マーケティング、分析、その他のツールなどのSaaSアプリケーションは、プライベートリソースへの接続を必要とする場合があります。

オープンポートがもたらすリスクとは?

オープンポートが危険となるのは、セキュリティ脆弱性を利用して正規のサービスが悪用された場合や、マルウェアやソーシャルエンジニアリングによって悪意のあるサービスがシステムに導入された場合です。サイバー犯罪者は、オープンポートと組み合わせてこれらのサービスを利用し、機密データに不正にアクセスすることが可能です。MySQLオープンポートのハニーポット結果をご覧ください。

オープンポートに対する一般的な緩和策とは?

オープンポートから企業を保護するための最も一般的な緩和策は、許可リストと VPN の 2 つです。IP許可リストを導入することで、既知の許可されたIPアドレスのみがオープンポートを介して接続できるようになります。これにより、悪意のあるスキャナーやボットが既知のセキュリティ侵害を見つけて利用しようとするリスクを排除することができます。VPNは、認証レイヤーを追加するために使用することもできます。 VPNは、オープンポート経由の不正なアクセスをブロックします。許可リストとVPNは一緒に使用することができます。

許可リストやVPNなどのオープンポート緩和策の課題は、リストを維持し、より多くのユーザーのためにリソースを拡張するための継続的な努力です。ユーザーは、接続する前に、すべての新しい拠点のIPアドレスをIT/DevOps部門に提供する必要があります。 VPNは、ハードウェアを追加で拡張するか、ホスティング・ソリューションの高価なライセンスを購入する必要があります。

Remote.Itの無料アカウントで始める

Remote.Itの導入方法について説明します。

レガシーネットワークからの脱却 - コードによる接続の自由を享受する

企業のクラウドインフラに1行のコードを配置することで、企業はアクセスに発見可能なパブリックIPアドレスを使用する必要がなくなり、その結果、攻撃対象がなくなります。

「クラウドリソースは、異なる地域、あるいは異なるクラウドプロバイダーやリモート内に存在することがあります。レガシーVPNタイプのソリューションのように、接続、非接続、再接続は必要ありません。また、我々のソリューションはレイヤー4で動作しているため、CASB(CloudAccess Security Broker)タイプのソリューションとは異なり、企業の機密データトラフィックが我々を経由することはありません」とリモートイットCEOの小山 亮は述べています。

クラウドネイティブの開発者は、レガシーネットワークの制限から解放される必要があります。パブリックIPアドレスを持たないリソースへのクラウドアクセスを提供するだけでなく、開発環境はあまりにも大きくなり、分散しすぎて、ローカルマシン上で簡単かつ予測可能な複製を行うことができなくなってきています。Remote.Itを導入することで、これらのリソースが本番環境、ステージング環境、または開発環境にある場合、開発者のローカルマシン上で直接動作しているかのように直接利用することができます。このような作業方法は、単に速いだけでなく、管理も簡単で安全です。

関連ブログ