2014年6月19日DDoS攻撃障害 のバックアップの現在との差分(No.18)
2014年6月19日に発生したPSO2関連サーバー群を狙ったDDoS攻撃によるサービス停止障害についてのまとめ。 メディア
停止、中止となったサービス中止した生放送
再開したサービス
停止期間6月19日19:18 ~ PSO2停止期間:2014年6月19日19:18 ~ 6月27日16:30(約8日間) AC購入停止期間:2014年6月19日19:18 ~ 6月30日14:00(約11日間) PSO2es停止期間:2014年6月19日19:18 ~ 7月16日17:45(約27日間)
原因と経過6月19日
6月20日
6月21日
6月22日
6月23日
6月24日
6月25日
6月26日
6月27日
6月28日
6月29日
6月30日
7月15日
7月16日
DDoS攻撃とはぶんさんがた‐サービスきょひこうげき【分散型サービス拒否攻撃】 デジタル大辞泉 (C) SHOGAKUKAN Inc.1995 1998 2012
加担してるかも?と思ったら・自身のPCを確認する そんな時はMicrosoft Network Monitor等、ネットワーク解析ツールを導入してで自身のネットワークを確認するのが良いですが専用ソフトはやや難解な部分がある為 そんな時はMicrosoft Network Monitor等、ネットワーク解析ツールを導入して自身のネットワークを確認するのが良いですが専用ソフトはやや難解な部分がある為 WindowsVISTA/7/8等、WINDOWSにも簡単ながら確認する方法が有るので記載します。 タスクバー(標準であればデスクトップ画面の下に出ている奴)を右クリックしてメニューを出します。その中に「タスクマネージャーの起動」がある筈なので実行します。 タスクマネージャーが起動したらパフォーマンスのタブをクリックし「リソースモニター」をクリックします。 リソースモニターが起動したらネットワークのタブをクリックしてください。どのようなネットワーク活動が行われているか表示されますので大まかに確認するべき項目は 「ネットワーク活動」の合計値、何もしていない状態で数値が異常に多いもしくは短時間に異常に増加する項目がないか確認してください。 「TCP接続」のリモートアドレスでPSO2が使用しているIPの210.129.xxx.xxx(xxxは複数該当値があり)に対してPSO2を起動していないのにアクセスしていないか等を確認してください。 「TCP接続」のリモートアドレスでPSO2サーバーが使用しているIPアドレスである210.129.xxx.xxx(xxxは複数該当値があり)に対して、PSO2を起動していないのにアクセスしていないかを確認してください。 これで確実に判明するという物では有りませんが目安にはなると思われますので不安な方はチェックしてみると良いでしょう。 万が一、上記のような怪しい症状が出ている場合、ネットワークを切断の上、ウィルス、マルウェアスキャン等をフルスキャンで実施する。 上記の記述内容では内容が半端すぎた為、ちょっと混乱を招く部分がありましたので追記させて頂きます。 あくまで個人的な考えですが、合計値が異常と言うのは10000をあっさり超えたりとか、送信+受信の値と大きく合計が極端に離れているものと思っています。 そういったプロセスがあった場合は「ネットワーク活動のプロセス」のイメージ部の名前の□にチェックを入れて抽出作業を行います。 そして、そのプロセスがどういった物なのか(参考画像はIEですのでブラウザですが)確認してください。 そしてそのプロセスのリモートアドレスを確認すると良いでしょう。 リモートアドレスが使用しているOSやソフトウェアのメーカーのIPアドレスであれば基本的には問題は有りませんが、全く関係ないアドレスであれば注意した方が良いかもしれません。 表示されるIPアドレスの検索には検索エンジンでIPアドレスを直接検索したりIPサーチを提供しているページ等を利用しましょう。(例:CMANインターネットサービス) ・使用しているルータを確認する ルーターにはDNSサーバーとして外部からの再帰的な問い合わせを許可したり、しなかったりする設定・機能があります。 許可状態である状態をオープンリゾルバと言います。この状態になっているとDDoSの中継としてルータが利用されることがあります。 基本的にルータ側に設定があるのですが状態を確認できるサイトがありますので紹介します。 JPCERT コーディネーションセンター のオープンリゾルバ確認サイトになります。 こちらのサイトを利用し、確認して頂き、判定内容によっては使用しているルータの設定変更やメーカーへの問い合わせをしてみると良いかもしれません。 判定結果が2種類とも「オープンリゾルバではありません」の場合はひとまず安心ですが、あくまで「オープンリゾルバを使った攻撃手法には悪用されない」というだけです。 上記のようなウィルスチェック等も合わせて実施しましょう。 判定結果例 水際対策をしておこうDDoSの中継になってしまったり、その他ウイルスや悪意のあるコード、スクリプトの実行を防ぐには普段からしっかりと備える事が大切です。 Windowsアップデートをしっかりと行っておく。FlashPlayer(※注)やAdobeReader、ExcelやWord等のソフトウェアの更新作業等も大切です。 Windows Updateをしっかりと行っておく。Flash Player(※注)やAdobe Reader、ExcelやWord等のソフトウェアの更新作業等も大切です。 また、ホームページを閲覧している際に不用意に他者の用意したファイルのダウンロード、リンクのクリックを行わないようにしましょう。 ということで少しでも危険性を下げれるようにメールの設定に関して少し触れておきましょう。 今回はおそらく利用者が多いと思われる、Microsoft社のWindowsLiveMailを例とします。 今回はおそらく利用者が多いと思われる、Microsoft社のWindows Live Mailを例とします。 (※元のメールの形式が変わるわけではありません。また、一部のメールが正常に表示されない事がありますので注意してください) ソフトウェア起動後、左上のメニューボタンをクリックします。 ※注 FlashPlayerに関しては、niconicoに広告を提供しているMicroAd AdFunnel経由で配信された不適切な広告によって FlashPlayerを騙ったマルウェアのダウンロードサイトに飛ばされる事例が発生したとのこと(詳細1、詳細2、参考3)。 Flash Playerに関しては、niconicoに広告を提供しているMicroAd AdFunnel経由で配信された不適切な広告によって Flash Playerを騙ったマルウェアのダウンロードサイトに飛ばされる事例が発生したとのこと(詳細1、詳細2、参考3)。 既に広告配信元のMicroAdにて対策がとられた(MicroAd発表1、2、niconico発表)ようで、 手持ちのFlashPlayerのバージョンをチェックし、古い場合はAdobe公式サイトからの最新版ダウンロードを強くお勧めします! 手持ちのFlash Playerのバージョンをチェックし、古い場合はAdobe公式サイトからの最新版ダウンロードを強くお勧めします! もしも引っかかってしまった可能性がある・心当たりがある場合は、トレンドマイクロの対策方法リリースをご確認ください。 補足:FlashPlayerやAdobeReaderをダウンロードもしくは最新版に更新する際に、提供オプションや提供プログラムとして GoogleChromeやMcAfeeSecurityScan等のインストールを促がされます。 補足:Flash PlayerやAdobe Readerをダウンロードもしくは最新版に更新する際に、提供オプションや提供プログラムとして Google ChromeやMcAfee Security Scan Plus等のインストールを促されます。 必要であればインストールするのは構いませんがそういう形でインストール目的のソフトウェアに付随したオプションのソフトウェアに マルウェア等が含まれているといったことも有りますので、どういったソフトウェアかしっかりと把握した上でインストールを行いましょう。 (※例としてFlashインストール時にオプションがあるという事で、Adobe、Google、McAfeeがマルウェアを配っているという訳では有りません) |
ファンタシースターオンライン2(PSO2) 攻略 Wiki
このWIKIで使用されている画像や文章データは株式会社セガに帰属します。(C)SEGA