サイバー攻撃事件簿--サイトが停止、5000万円失う!

梅田正隆(ロビンソン)

2009-02-20 08:00

 サービス停止の原因はいろいろあるだろうが、少なくとも原因がはっきりしない場合、サービスの再開は難しい。サイバー攻撃に詳しいラックのサイバーリスク総合研究所で所長を務める西本逸郎氏は「被害の拡大を防止できるか分からないままサービスを再開してしまうのでは、法律的責任はまだないものの、道義的責任が問われる」と指摘する。

ある日突然、オンラインストアに大量のアクセスが

 原因を特定しないままサービス再開に踏み切ると、情報を漏えいさせてしまったり、人に危害を与えてしまうことにつながるからだ。Webサイトを改ざんする攻撃者の狙いは、アクセスしてきた訪問者のパソコンに悪意のあるプログラムを仕込み、訪問者のIDやパスワードを盗み見たり、自分の意のままに訪問者のパソコンを操ることにある。

 あるメーカーではこんな事件に遭遇した。海外の顧客から「オンラインストアにまったくアクセスできない」との問い合わせが入った。さっそく調べてみると、自社で運営する外国向けオンラインストアに対して、まるでDoS攻撃のような大量のアクセスがあることが観測されたのである。奇妙なことに大量のアクセスは丸1日続いて止み、数日経つとまた始まる、ということを繰り返した。

見つけられない攻撃の痕跡

 管理担当者らは懸命に調査してみたのだが、Webサーバーのログにも、IDSのログにもこのタイプの攻撃を裏付ける痕跡を見つけることはできなかった。攻撃に対する明確なログが取れていなかったために、ログのフィルタリングさえできなかった。

 結局、1週間ほどこのWebサイトは閉鎖されることになり、およそ5000万円の損失が出てしまった。管理担当者らは「せめてトラフィックのログだけでも取っておけばよかった」と悔やんだ。

 この会社では、一般に取るべきとされているログは取っていた。サーバー側のsysログはすべて取っていたし、auditログや、Solaris Basic Security Moduleで監査のためのイベントログも取っていた。ファイアウォールやIDSのログも、もちろん取っていた。

原因は「SYNフラッド攻撃」か ?

ラック サイバーリスク総合研究所 西本逸郎氏所長ラック サイバーリスク総合研究所 西本逸郎氏所長

 残念だったのは、サーバーOSとしてSolarisの古いバージョンを使用しいたために、特定の条件下では特定のログが残らないという、カーネルのバクが存在していたことが災いしたかも知れなかった。管理担当者らは、おそらく「SYNフラッド攻撃」を受けたのではないかと推測している。

 ご存じのように、TCP接続を確立する際、クライアントはまずサーバーに「SYNパケット」を送信し、それを受け取ったサーバーはクライアントに「ACKパケット」を返信する。そして最後にクライアントがサーバーにACKパケットを返信する。このような3度のやり取りを経てTCP接続は確立される。

 「SYNフラッド攻撃」は、3度目のACKパケットをサーバーに故意に送らず、サーバーを待ちぼうけ状態にする。攻撃者は大量のSYNパケットを何度も送りつけ、サーバーをクライアントからの応答待ちでいっぱいの状態にして、サーバーを機能停止に追い込む攻撃として知られている。

 ちなみに、大量のアクセスが発生した過去の類似ケースとしては、証券会社の例があった。デイトトレーディングが盛り上がり始めた頃、証券会社は独自に開発したトレード用ソフトウェアを顧客に配布したが、このツールがサーバーに情報を取得しにアクセスしてきた際にDoS攻撃と同じような状態になったらしい。

 「なったらしい」と断定できないのは、誰がいつツールを使ったというログがなかったために、ツールが原因であると特定することができなかったからである。アクセスが集中し、サーバーに高い負荷がかかり、やがてリソースを食い尽くしてサービス停止に至る。DoS攻撃と同じことだ。

 さて、今回ご紹介したオンラインストアにおけるサービス停止事件だが、実はいまだに問題の解決には至っていない。ロードバランスなど、いろいろと試してみたがうまく回避することはできなかったという。ついに、メーカーの管理担当者らは、根本的な対策を施すことはあきらめ、大量のアクセスが発生した場合、サーバーがパンクしてしまう前にケーブルを抜くという、かなりアナログな対策で回避している。事件の闇は深い。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]