“あのサイバー攻撃”の概略
2014年12月5日、技術評論社のホームページが第三者からの不正アクセスを受けた。異変にいち早く気がついた担当者が対応したことでいったん収束したように見えたのだが、処置の隙を見逃さなかった攻撃者が再侵入。結果として、翌6日の11時~14時の間、サイトが改ざんされる事態が発生した。サーバの中身を入れ替えられ、外部のサイトにリダイレクトするように設定されていたのだ。
しかし、事件発覚からの同社の動きは早かった。的確な状況判断と作業の分担で迅速にサーバを復旧させるとともに、全社員へ状況を伝え、お詫びと対応の一部始終を記事としてユーザーに公開したのである。これはユーザーへの説明責任だけでなく、同様のサービスを利用する企業へ注意喚起する役割も果たした優れた対応例だとして、今年2月に開催された『セキュリティ事故対応アワード』で優秀賞を受賞する運びとなった。
2度にわたって仕掛けられたサイバー攻撃に、技術評論社はどのように立ち向かい、対応を行ったのか。本稿では、その詳細を振り返りつつ、担当者の当時の心境と併せてレポートする。
それは、サーバ・ダウンで始まった
2014年12月5日の午前11時10分過ぎ、技術評論社のサーバ(gihyo.jp)がダウンした。その直前、コントロール・パネルへの不正アクセスがあったという。しかし幸いなことに、サーバ管理担当者がちょうどサーバにログインして作業中だったため、異変にすぐに気づくことができた。その時の心境を、担当者は次のように語る。
「思い当たるふしがあったので、『しまった』という思いでしたが、12月5日の時点では気づくのが早かったので、サービスの短時間の中断で済みそうだという安心感も半分ありました」
この”思い当たるふし”とは、サーバの管理会社に登録しているメール・アドレス宛に送られてきたメールに記載されていたURLからログインしたことだ。httpsなドメインであることと、ほかのサービスではあまり使用していないメール・アドレス宛だったことから、ヘッダの確認をせずにアクセスしてしまったのだという。
攻撃者はサーバを乗っ取ろうとしてきたため、担当者はまず攻撃者のオペレーションを遮断できないかどうかを考えた。VPS(Virtual Private Server)ユーザーができることは限られていたが、コントロール・パネルのパスワードを変更し、管理会社に連絡を取って、攻撃者からのアクセスが切断されているかどうかの確認を依頼。13時20分頃サーバは復旧し、これで事態はいったん収束したかのように見えた。
「この時はまだ、まさか翌日に再度同じ攻撃を許すことになるとは思ってもいませんでした」(担当者)