国内有数の電子書店「eBookJapan」を運営するイーブックイニシアティブジャパンは、2013年4月2日から4月5日にかけてアカウントリスト型攻撃を受けた。同じ攻撃の前例がほとんどないなか、攻撃手法と原因を迅速に突き止めるとともに、詳細な情報をほぼリアルタイムで公開したことなどが評価され、今年2月に開催された『セキュリティ事故対応アワード』で優秀賞を受賞するに至った。
不正ログインについて、いち早く公開した”理由”
イーブックイニシアティブジャパンが最初に攻撃の兆候に気づいたのは、2013年4月5日の9時頃のことだ。Webサーバの担当者から、「何か重いぞ」という言葉が発せられたのが始まりだった。その後、10時30分頃にサーバの高負荷状態が正式に確認され、12時30分頃にはサーバ監視システムからアラートが発せられたことから、詳しい調査が始まった。
同社の取締役で技術担当役員を務める村上聡氏は、この時のことをこう振り返る。「攻撃を受けていることが明らかになった後も、いったい何が起きているのかは何時間もの間わからず、嫌な感じが続いていました。当社のデータが盗まれているのでは、という不安感が特に強かったですね。ただ、データベースのアクセスログを確認したところ、そちらは攻撃を受けた形跡がなかったので、今のところ機密性の高い情報までは被害を受けていないという認識で動いていました」
そして同日21時00分、同社は今回の件を伝える第一報をコーポレートサイト上にて公表する。その内容は、不正ログインによるアクセス件数をはじめ、被害規模から実施済みの対策、ユーザーへのパスワード再設定の依頼にまで及んでおり、事件発覚当日とは思えないほど詳細なものだった。
イーブックイニシアティブジャパン 取締役 村上聡氏 |
この時点で村上氏は、攻撃手法はブルートフォース・アタック(大量アクセス行為)だと想像していた。とは言え、全容が把握できていない状態で、被害や対策の内容を公開したのはなぜか――村上氏は次のように説明する。
「まず第一に、『よくわからないけれど、とにかく何かが起きている』とユーザーに知らせることで、もし被害が広がるような性質の攻撃だったとしても、できる限り拡大を防ぎたいという思いがありました。それから、明らかに当社の販売サイトが重くなっているので、その理由を説明しておく必要もあります。また、複数のアカウントへのアクセスがあったIPアドレスをブロックする処置を施していましたが、ユーザーの中には実際に1つのIPアドレスを複数人で使っているケースも考えられたため、そうした方々に状況を知らせておこうという考えもありました」
いずれの理由も、その根底には「ユーザーのために」という心情が伺える。現状を正しく伝えることで被害を最小限に食い止められ、少しでもユーザーの不安を払拭できるのであれば、必ずしも最初の発表ですべてが明らかになっている必要はないということだろう。
なお、このとき実施された対策は次のとおりだ。
- 大量アクセス行為を仕掛けてきた複数のIPアドレスからのアクセスをブロックする設定
- 同一IPアドレスからログインページへのアクセスが連続した場合、一定期間アクセスできなくなるように設定
- 不正ログインされた可能性のある約720のアカウント(当時)について、パスワードを初期化
これにより、4月6日以降は不正ログインが発生しなかったという。