8月, 2017年
サーバー障害の検証でわかったこと
おはようございます。
システムエンジニアの鈴木です。
どんよりとした朝になりました。皆さんはいかがお過ごしでしょうか?
さてさて、先日日曜日ぐらいからお騒がせしている不正アクセスによるサーバー障害についてですが、昨日も午後9時すぎに5分程度発生いたしました。
緊急に状況を確認し、ログの解析などから、サーバーネットワークを司る装置(ルーター)が不正アクセスの処理に追いつかず、CPUが100%の状態になり、自動復旧のために機器が再起動を繰り返す事で、通信障害が発生している事を突き止めました。
ネットワークのトラフィックをログから参照すると、回線上十分な容量を確保できていましたので、集中してアクセスする事でパンクしたものではない事がわかります。
ではなぜCPUが暴走する原因になったのでしょうか?
不正アクセスの数は回線容量よりも少ないアタックではありましたが、ほぼ同時に多数の地域から集中的にアクセスされ、装置が不正アクセスと判断すると、ブロック及び管理者に通知する処理を自動で行います。この処理が同時に起こり、装置がフリーズ状態になる事で再起動がかかってしまうというものが原因のようでした。
このことから、この装置の挙動を変更してCPUに負担をかけない仕様に変更したところ、同様のネットワークトラフィックがかかってもフリーズしない事がわかりました。
この装置は、弊社OEMで提供しているシステムのサーバー5台、一部のサーバー監視、VTOS,VTSVサービス、SSLサービス、クラウドファイルサービスに直結しているため、これらのサービスで障害が発生していた事も判明いたしました。
装置の挙動変更後の本日、午前0時~午前9時の間のログでは、今のところ異常はみられない事が確認できました。
今後、同様の負荷がかかるか継続的な監視を強化し、慢性的になるようであれば、装置の強化を検討しなければならないようです。
皆様には大変ご不便をおかけいたしました事お詫び申し上げます。
緊急アンケート実施のご案内
日頃より弊社サービスをご愛顧いただきまして誠にありがとうございます。
近日頻繁に発生している海外からの不正アクセスに伴いまして、お客様のご利用状況を把握するべく緊急のアンケートを実施いたします。
このアンケートは、現在弊社サービスをご利用頂いている環境についてのアンケートです。
このアンケート結果により、セキュリティー強化の参考にいたしますので、お手数ではございますが、ご協力をお願いいたします。
なお、アンケートサイトはパスワードで保護されています。
8月28日に弊社より発送いたしましたアンケートのご案内にそれぞれパスワードが記されております。
そのパスワードを使用してアンケートのご協力をお願いいたします。
このアンケートは9月2日土曜日までとさせていただきます。何卒皆様のご協力をお願いいたします。
■アンケート実施のURL
https://drcom.co.jp/monitor001
サーバー障害の復旧のご連絡
日頃より弊社サービスをご愛顧くださいまして誠にありがとうございます。
本日夕方より発生致しました外部からの大量の不正アクセスでございますが、本日午後10時25分以降安定して稼働いたしております。
尚引き続き、不正アクセスの状況を確認し更なるセキュリティ向上に繋げて参ります。
ご不便をおかけ致しました事をお詫び申し上げます。
今後とも弊社サービスを宜しくお願いいたします。
サーバ障害の続報
日頃より弊社サービスをご愛顧いただきまして誠に有難うございます。
本日午後5時59分より発生しました 外部からの不正 アクセスが断続して続いております。 お客様には大変ご迷惑をおかけしておりますが現在復旧 作業を行っております。
依然不安定な状況が続いておりますが 、今しばらくお待ちいただきますようお願い申し上げます。
サーバー障害のご案内
いつもドリームズカンパニーをご愛顧いただき誠に有難うございます
先ほど17時58分頃弊社 oem サーバーにおいて、サーバ障害が発生いたしました 。
外部からのアクセスが多く発生し負荷がかかったため、サービスを一時切断し 再起動を行いました。
18時3分には すべて復旧しております。
ご不便をおかけいたしました事お詫び申し上げます。
今後とも弊社サービスをどうぞよろしくお願いいたします。
全国の一部でインターネットに接続できないトラブルについて
日頃より弊社サービスをご愛顧頂きまして誠にありがとうございます。
一部の報道で全国各地の一部においてインターネットに接続出来ないというトラブルが発生しておりますが、弊社サービスにおいては現在のところ正常に稼働しておりますのでご案内申し上げます。
万一お使いのパソコン等でヤフーやgoogle等にも接続出来ないお客様がいらっしゃる場合には、ご契約頂いているプロバイダにお問い合わせ頂きますようお願い申し上げます。
DNSを運用している方への注意
2017年9月19日以降に一部のDNS応答のサイズ増大により
インターネット利用に影響が出る恐れがあります。
現在、ICANNにより進められている、 ルートゾーンKSKロールオーバー(鍵署名鍵の更新)に伴い、 2017年9月19日(火)に一部のDNS応答のサイズが増大する作業が予定されています。 これにより、利用環境によってはIPフラグメンテーション(データ量の増大)が発生し、 インターネットの利用に遅延や接続できないなどの障害が起こる可能性があります。 そのため、ご自身が運用されている環境についてご確認いただき、 DNS応答のサイズ増大に備える必要があります。
KSKロールオーバーの概要や、 本件に伴う影響やその対応についての特設Webページを、 本日付でより詳しく更新いたしました。 これを参考に、ぜひご自身が管理するDNS、ネットワークの再確認を行ってください。
KSKロールオーバーについて
https://www.nic.ad.jp/ja/dns/ksk-rollover/ (外部リンク:JPNIC)
サーバ側でDNSSEC検証を有効にしている場合はもちろん、 無効にしていてもクライアント側がDNSSECに関する問い合わせをしてくるケースなど、 状況によっては本件の影響を受ける可能性があります。 その他、明示的にDNSSEC検証を有効にしていなくても、 デフォルトで有効になっている場合もあります。
更新作業を進めているICANNは、 インターネットユーザーの4人に1人に影響が及ぶ可能性を示唆しており、 日本国内でも総務省をはじめ、各所から注意喚起がなされています。
JPNICはこれまでも本件に関する情報提供を行ってまいりましたが、 内容について数多くのお問い合わせいただいていることから、FAQも含めて、 本解説ページを更新いたしました。
ご自身が運用されている環境に直接問題が出なくても、 本件の影響を受けたユーザーなどからの問い合わせの増加なども考えられます。 みなさまぜひこちらのページをご覧になった上でご確認いただきますよう、 お願いいたします。
この事でどんな問題が起きるのか?
ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。
大きくなったDNS応答を正しく受け取れない場合、 DNSSECに関わる通信に悪影響が出る可能性があります。 その結果、インターネットの利用に問題が発生します。
対応しなければならないサービス
・BIND9.6以前(対策必要)
BIND9.7系以降にする(推奨は9.9系:機能的に問題がないのならばESVである9.9系へ)
OpenSSLでもECDSAでの署名も進むと考えられるので考慮した対策が必要。
・Windows Server DNS(対策不要)
Windows Server 2012以降がインストールされているのであれば設定や変更の必要はなし。
結論として、Windows OS の DNS サーバーにおいては DNSSEC の構成の有無に関わらずルート ゾーン KSK の更新に伴う対策は不要です。
ご参考までに・・・
Adobe製品の脆弱性対策について
やや重要なセキュリティー対策がありますのでご案内いたします。
Adobe製品で2つのセキュリティーホール(脆弱性)が見つかりました。
以下のアプリケーションがパソコンにインストールされていれば、以下の方法でアップデートできます。
リンク先は、IPA 情報処理推進機構のホームページへリンクしています。ご参考になさってください。
Adobe Flash Player の脆弱性対策
概要
アドビシステムズ社の Adobe Flash Player に、ウェブを閲覧することで DoS 攻撃や任意のコード(命令)を実行される可能性がある脆弱性(APSB17-23)が存在します。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性があります。
アドビシステムズ社からは、「攻撃対象になるリスクが比較的高い脆弱性」としてアナウンスがされているため、至急、修正プログラムを適用して下さい。
対象
次の Adobe 製品が対象です。
Adobe Flash Player Desktop Runtime
26.0.0.137 およびそれ以前のバージョン (Windows、Macintosh、Linux)
Adobe Flash Player for Google Chrome
26.0.0.137 およびそれ以前のバージョン (Windows、Macintosh、Linux、Chrome OS)
Adobe Flash Player for Microsoft Edge and Internet Explorer 11
26.0.0.137 およびそれ以前のバージョン (Windows 10 および 8.1)
https://www.ipa.go.jp/security/ciadr/vul/20170809-adobeflashplayer.html
Adobe Reader および Acrobat の脆弱性対策
概要
アドビシステムズ社の Adobe Reader および Acrobat に、PDF ファイルを閲覧することで任意のコード(命令)が実行される脆弱性(APSB17-24)が存在します。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性があります。
アドビシステムズ社からは、「過去に攻撃リスクが高いとされたことのある脆弱性」としてアナウンスがされているため、至急、修正プログラムを適用して下さい。
対象
次の Adobe 製品が対象です。
Acrobat DC (Continuous Track) 2017.009.20058 およびそれ以前のバージョン (Windows、Macintosh)
Acrobat Reader DC (Continuous Track) 2017.009.20058 およびそれ以前のバージョン (Windows、Macintosh)
Acrobat 2017 2017.008.30051 およびそれ以前のバージョン (Windows、Macintosh)
Acrobat Reader 2017 2017.008.30051 およびそれ以前のバージョン (Windows、Macintosh)
Acrobat DC (Classic Track) 2015.006.30306 およびそれ以前のバージョン (Windows、Macintosh)
Acrobat Reader DC (Classic Track) 2015.006.30306 およびそれ以前のバージョン (Windows、Macintosh)
Acrobat XI (Desktop Track) 11.0.20 およびそれ以前のバージョン (Windows、Macintosh)
Reader XI (Desktop Track) 11.0.20 およびそれ以前のバージョン (Windows、Macintosh)
https://www.ipa.go.jp/security/ciadr/vul/20170809-adobereader.html
私たちは、作るだけの仕事じゃない。情報を守る事も使命!
みなさんこんにちは、本日のお仕事がやっと終わった、システムエンジニアの鈴木です。
昨日から私たちは慌ただしく動いていました。
それは、セキュリティーホール対策。言わば、抜け道の穴埋めですね。
本来便利に使える機能としてお客様に提供してきたサービスの一部を悪意ある者が悪用するという事件が発生しました。情報漏洩などは発生していませんが、無差別に無意味なメールが送られた痕跡がありました。
しかし、この方法を使っても悪意のある者がメール本文に追加してなにか書き加えられる訳ではないのですがね。負荷をかけてサーバーをダウンさせようという考えだったのでしょうか・・・
謎です。
下の画像がサーバーの不正アクセスログです。
半日程度のログですが、不正アクセスが3万4千近くアタックしている事がわかります。
さきほど一日の総アクセス数が確認できました。5万7千に達しました。
もしこれが通常のホームページアクセス数ならばお客様は大繁盛なんでしょうけどね~
私たちは、ホームページ制作やシステム開発ばかりを行っているのではなく、常に安心してサービスが提供できるようサーバーのアクセスログを解析して、危険度合いに応じて対応しているのです。
全世界に割り当てられているIPアドレスを常に解析して、不正が多いIPや国などは危険なものとしてチェックし、一定基準を超えた連続アクセスをブロックする事で被害を最小限にとどめています。
また、弊社が提供しているAPIのサービス、インストール型のサービスなども定期的に検証し、危険と判断すればサービスを停止する、あるいは代替えのサービスに切り替えるなどの処置を講じています。
いつでも快適にご利用いただけるよう日夜私たちが皆様の大切な情報を守っています。
一部のお客様のHP仕様変更のお知らせ
日頃より弊社サービスをご愛顧くださいまして誠にありがとうございます。
緊急ではありますが、Wordpressをお使いで、投稿のメールシェアをご利用の一部のお客様において、外部からの不正な攻撃を確認いたしました。
この状況で個人情報などの流出はありませんが、無関係の方へブログの内容を送り着ける行為があった事が確認されました。
この為、一部のお客様に提供していました投稿記事やページ記事の拡散用のメールシェア機能を廃止することといたしました。
すでに該当するお客様にはご連絡させて頂き対処致しました事をご案内申し上げます。
今回の問題は、Wordpressにあるプラグイン機能を悪用したものです。もし同様のサービスをご利用のお客様は、悪用される前に早急な対応をお願いいたします。
尚、該当のプラグインを利用し、かつ悪用されてしまった場合、サーバーの負荷によってはサービスを一時停止する場合もございますのでご注意ください。
円滑なサーバー運用のためにもご理解とご協力をお願いいたします。
