サイバー攻撃事件簿--サイトが停止、5000万円失う!

梅田正隆(ロビンソン) 2009年02月20日 08時00分

  • このエントリーをはてなブックマークに追加

 サービス停止の原因はいろいろあるだろうが、少なくとも原因がはっきりしない場合、サービスの再開は難しい。サイバー攻撃に詳しいラックのサイバーリスク総合研究所で所長を務める西本逸郎氏は「被害の拡大を防止できるか分からないままサービスを再開してしまうのでは、法律的責任はまだないものの、道義的責任が問われる」と指摘する。

ある日突然、オンラインストアに大量のアクセスが

 原因を特定しないままサービス再開に踏み切ると、情報を漏えいさせてしまったり、人に危害を与えてしまうことにつながるからだ。Webサイトを改ざんする攻撃者の狙いは、アクセスしてきた訪問者のパソコンに悪意のあるプログラムを仕込み、訪問者のIDやパスワードを盗み見たり、自分の意のままに訪問者のパソコンを操ることにある。

 あるメーカーではこんな事件に遭遇した。海外の顧客から「オンラインストアにまったくアクセスできない」との問い合わせが入った。さっそく調べてみると、自社で運営する外国向けオンラインストアに対して、まるでDoS攻撃のような大量のアクセスがあることが観測されたのである。奇妙なことに大量のアクセスは丸1日続いて止み、数日経つとまた始まる、ということを繰り返した。

見つけられない攻撃の痕跡

 管理担当者らは懸命に調査してみたのだが、Webサーバーのログにも、IDSのログにもこのタイプの攻撃を裏付ける痕跡を見つけることはできなかった。攻撃に対する明確なログが取れていなかったために、ログのフィルタリングさえできなかった。

 結局、1週間ほどこのWebサイトは閉鎖されることになり、およそ5000万円の損失が出てしまった。管理担当者らは「せめてトラフィックのログだけでも取っておけばよかった」と悔やんだ。

 この会社では、一般に取るべきとされているログは取っていた。サーバー側のsysログはすべて取っていたし、auditログや、Solaris Basic Security Moduleで監査のためのイベントログも取っていた。ファイアウォールやIDSのログも、もちろん取っていた。

原因は「SYNフラッド攻撃」か ?

ラック サイバーリスク総合研究所 西本逸郎氏所長ラック サイバーリスク総合研究所 西本逸郎氏所長

 残念だったのは、サーバーOSとしてSolarisの古いバージョンを使用しいたために、特定の条件下では特定のログが残らないという、カーネルのバクが存在していたことが災いしたかも知れなかった。管理担当者らは、おそらく「SYNフラッド攻撃」を受けたのではないかと推測している。

 ご存じのように、TCP接続を確立する際、クライアントはまずサーバーに「SYNパケット」を送信し、それを受け取ったサーバーはクライアントに「ACKパケット」を返信する。そして最後にクライアントがサーバーにACKパケットを返信する。このような3度のやり取りを経てTCP接続は確立される。

 「SYNフラッド攻撃」は、3度目のACKパケットをサーバーに故意に送らず、サーバーを待ちぼうけ状態にする。攻撃者は大量のSYNパケットを何度も送りつけ、サーバーをクライアントからの応答待ちでいっぱいの状態にして、サーバーを機能停止に追い込む攻撃として知られている。

 ちなみに、大量のアクセスが発生した過去の類似ケースとしては、証券会社の例があった。デイトトレーディングが盛り上がり始めた頃、証券会社は独自に開発したトレード用ソフトウェアを顧客に配布したが、このツールがサーバーに情報を取得しにアクセスしてきた際にDoS攻撃と同じような状態になったらしい。

 「なったらしい」と断定できないのは、誰がいつツールを使ったというログがなかったために、ツールが原因であると特定することができなかったからである。アクセスが集中し、サーバーに高い負荷がかかり、やがてリソースを食い尽くしてサービス停止に至る。DoS攻撃と同じことだ。

 さて、今回ご紹介したオンラインストアにおけるサービス停止事件だが、実はいまだに問題の解決には至っていない。ロードバランスなど、いろいろと試してみたがうまく回避することはできなかったという。ついに、メーカーの管理担当者らは、根本的な対策を施すことはあきらめ、大量のアクセスが発生した場合、サーバーがパンクしてしまう前にケーブルを抜くという、かなりアナログな対策で回避している。事件の闇は深い。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化