2014年6月19日DDoS攻撃障害 のバックアップ(No.17)

2014年6月19日に発生したPSO2関連サーバー群を狙ったDDoS攻撃によるサービス停止障害についてのまとめ。
コメント欄は設けていません。雑談掲示板をご利用下さい。
今回の障害においてPSO2を運営する『株式会社セガ』は被害者です。ご配慮下さい。


メディア Edit

  • 公式
    【PSO2】第三者からの攻撃によるサービス一時停止について
    http://pso2.jp/players/news/?id=3835
    【PSO2es】第三者からの攻撃によるサービス一時停止について
    http://pso2.jp/es/players/news/?id=175
    ※注意 公式サイトはPSO2、PSO2esどちらも同じDDoS攻撃を受けてダウンしているため、メンテナンス中ページにリダイレクトされます。
    公式サイトもDDoS攻撃を受けている状況です。過度なアクセスは控えるようにしてください。


停止、中止となったサービス Edit

  • “PC”版、“PS Vita”版『PSO2』へのログイン
  • スマートフォン版『PSO2es』へのログイン
  • PSO2公式サイト
  • PSO2es公式サイト
  • アークスキャッシュ(AC)の購入
  • アークス候補生! 小原莉子 第10回放送(2014/06/19)
  • アークス候補生! 高木友梨香 第10回放送(2014/06/20)
    ※「PSO2アークス候補生!」について、サービス再開まで一時中止。

停止期間 Edit

6月19日19:18 ~


原因と経過 Edit

6月19日 Edit

  • 17:35
    ゲームサーバーに正常に接続しづらい現象が発生。断続的にゲームサーバーがダウンし、切断が多数報告される。
  • 18:00
    PSO2プレイヤーズサイトに"ゲームサーバー接続障害のお知らせ"が掲載される。
    http://pso2.jp/players/news/?id=3830
  • 18:05
    PSO2esプレイヤーズサイトに"ゲームサーバー接続障害のお知らせ"が掲載される。
    http://pso2.jp/es/players/news/?id=174
  • 19:15
    PSO2プレイヤーズサイトに"第三者からの攻撃によるサービス一時停止について"が掲載される。今回の障害の原因は不特定な第三者によるPSO2サーバー群を狙ったDDoS攻撃であること、現在も攻撃が継続的に続いていること、サービスの一時停止を実施する可能性があることが発表される。
    http://pso2.jp/players/news/?id=3835
  • 19:18
    PSO2、PSO2esのサービスが一時停止される。
  • 19:25
    PSO2esプレイヤーズサイトに"第三者からの攻撃によるサービス一時停止について"が掲載される。スペシャルクエスト「ラッピー特殊調査」の配信が中断される事に関して、何らかのお詫びを検討していることが発表される。
    http://pso2.jp/es/players/news/?id=175
  • 19:28
    公式Twitterアカウント「ぷそナビ」のツイートで、「アークス候補生!小原莉子」第10回放送を中止することが発表される。
    https://twitter.com/sega_pso2/status/479571361388433408
  • 19:40
    PSO2esプレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。19:18にPSO2esのサービスを一時停止したこと、IPアドレスの偽装により攻撃元が特定できず、現状では状況改善の見込みもないことが発表される。その後更新され、プレイデータに関しても問題ないと発表。
  • 20:00
    PSO2プレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。19:18にPSO2のサービスも一時停止したことを発表。
  • 23:00
    PSO2プレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。お知らせの種別が"障害"から"重要"に変更される。攻撃は依然継続しており、サービスの再開目途が立たない状況。今夜中の復旧については、厳しい状況にある。6月20日(金)13:00に続報を発表すると予告される。また、6月21日(土)開催予定の「ファンタシースター感謝祭2014」大阪会場については、当日のサーバーの停止状況にかかわらずイベントを開催すると発表。必ずサービスを再開するため、引き続き対応を進めているとのこと。
  • 23:05
    PSO2esプレイヤーズサイトの"第三者からの攻撃によるサービス一時停止について"が更新される。内容は上記の通り。
    http://pso2.jp/players/news/?id=3835
  • 23:11
    公式Twitterアカウント「ぷそナビ」のツイートで、「ファンタシースター感謝祭2014」大阪会場のアークスグランプリも通常通り開催すると発表。
    https://twitter.com/sega_pso2/status/479627437609738241

6月20日 Edit

6月21日 Edit

  • 10:00~18:00
    「ファンタシースター感謝祭2014」大阪会場のアークスグランプリが開催され5千人を上回る盛況のまま無事に終わる。

6月22日 Edit

  • 16:02
    サービスの停止状態・再開に関わらず6月28日(土)の「ファンタシースター感謝祭2014」福岡会場は開催。西日本総合展示場 新館10~18時の開催。
    公式ツイッターより
    https://twitter.com/sega_pso2/status/480606818494738433

6月23日 Edit

  • 14:00
    各メディア更新。現状においても激しい攻撃が続いており、ゲームサーバーを切断しているため、アップデートの延期が発表された。
    公式サイトは先行して復旧できるよう対策を進めている
    お詫びに関する進展
    ・ユーザー全員に何らかのお詫びを行う。
    ・プレミアムセット、拡張倉庫などの有効期間が設けられているアイテムは、有効期間を延長できるよう対応を進めている。
    ・開催中のWEB連動イベントを含む各種イベントやキャンペーンはすべて受付と配付の期日を延長。
    ・「PSO2放送局#21」ゲーム内キーワードプレゼントは受付の期限を延長。
    ※お詫びの詳細や実施時期は、後日あらためて知らせる。
    ※上記以外の内容に関しても検討を進めており、内容が確定次第、あらためてお知らせ。
    次の報告は6月24日の15時。
    http://ameblo.jp/sega-psblog/entry-11882851681.html
    https://twitter.com/sega_pso2/status/480939302130434048
    https://twitter.com/sega_pso2es/status/480938368314773504

DDoS攻撃とは Edit

ぶんさんがた‐サービスきょひこうげき【分散型サービス拒否攻撃】
《distributed denial of service attack》コンピューターネットワークを通じて攻撃を行う不正アクセスの一種。悪意ある第三者が多数のパソコンにコンピューターウイルスを送り込んで感染させ、特定のウェブサーバーなどに対し、不正なデータや大量のデータを送りつけるサービス拒否攻撃を仕掛けるよう操る。パソコンの所有者が気づかないまま攻撃に加担してしまうほか、真の犯人を特定することが非常に困難という特徴がある。分散型DoS(ドス)攻撃。DDoS(ディードス)攻撃。
[補説]
2009年に米国や韓国の政府サイトがこの手法で被害を受けたことで知られる。
→分散

デジタル大辞泉 (C) SHOGAKUKAN Inc.1995 1998 2012

DDoS攻撃イメージ改_.jpg
※サーバー強化を行うと上記の図では青い川らしきところにかかっている道(橋?)が広くなる。
 しかし、送られてくる情報量が受け入れ可能量を上回れば同じ為、
 根本解決には大量の情報を送ってきている元を絶つ必要がある。
※セガサーバーのアドレスなどの変更を行ったとしても、セガのネットゲームをしたり、
 セガホームページの閲覧等をするのには結局、セガサーバーに繋ぐ必要があるので、
 その情報を元に攻撃先をサーバーの新アドレスなりに再変更して攻撃すれば結局元の木阿弥になるので根本的な対策にはならない。
※許可されたIPアドレスだけと情報をやりとりするようにして、閉じられたネットワークを目指しても、
 物理的にデータをやり取りする線(間に無線を挟む場合も同じ)が繋がっており、
 さらに使用するプロトコル(回線でやり取りするためのプログラム、仕組み、規格、決まり)が
 同じであれば結局、一般ユーザーと同じ経路も使って送られてくる大量のデータをふるい落とす必要が出てきて、
 そのふるい落とす箇所が混雑するので、結局は同じになり、根本解決には至らない。




加担してるかも?と思ったら Edit

・自身のPCを確認する
基本的にはウィルスチェック、マルウェアチェックを掛けるのが良いですがチェックに掛からない場合も存在します。
そんな時はMicrosoft Network Monitor等、ネットワーク解析ツールを導入してで自身のネットワークを確認するのが良いですが専用ソフトはやや難解な部分がある為
WindowsVISTA/7/8等、WINDOWSにも簡単ながら確認する方法が有るので記載します。
タスクバー(標準であればデスクトップ画面の下に出ている奴)を右クリックしてメニューを出します。その中に「タスクマネージャーの起動」がある筈なので実行します。
タスクマネージャーが起動したらパフォーマンスのタブをクリックし「リソースモニター」をクリックします。
リソースモニターが起動したらネットワークのタブをクリックしてください。どのようなネットワーク活動が行われているか表示されますので大まかに確認するべき項目は
「ネットワーク活動」の合計値、何もしていない状態で数値が異常に多いもしくは短時間に異常に増加する項目がないか確認してください。
「TCP接続」のリモートアドレスでPSO2が使用しているIPの210.129.xxx.xxx(xxxは複数該当値があり)に対してPSO2を起動していないのにアクセスしていないか等を確認してください。
これで確実に判明するという物では有りませんが目安にはなると思われますので不安な方はチェックしてみると良いでしょう。


万が一、上記のような怪しい症状が出ている場合、ネットワークを切断の上、ウィルス、マルウェアスキャン等をフルスキャンで実施する。
該当するプロセスを停止・削除(※但しよく判らず削除するのは逆に危険)させてみる等
方法は色々あるのですが必ずしも確実ではないので最悪、必要なデータをバックアップの上、クリーンインストール、初期化リカバリーの実施も検討してください。
ddos_kaku.jpg
※上記はPC、Windows系OSにおける対処法です。
DDoS攻撃における踏み台は最近はPCだけでなくスマートフォン、タブレット等も利用されることがあります。
何もしてないのにバッテリーの減りが通常より早い、本体が異常に熱くなっている等の症状がある場合はウイルスチェック等してみると良いでしょう。


・使用しているルータを確認する
ルーターにはDNSサーバーとして外部からの再帰的な問い合わせを許可したり、しなかったりする設定・機能があります。
許可状態である状態をオープンリゾルバと言います。この状態になっているとDDoSの中継としてルータが利用されることがあります。
基本的にルータ側に設定があるのですが状態を確認できるサイトがありますので紹介します。
JPCERT コーディネーションセンター オープンリゾルバ確認サイトになります。
こちらのサイトを利用し、確認して頂き、判定内容によっては使用しているルータの設定変更やメーカーへの問い合わせをしてみると良いかもしれません。
判定結果が2種類とも「オープンリゾルバではありません」の場合はひとまず安心ですが、あくまで「オープンリゾルバを使った攻撃手法には悪用されない」というだけです。
上記のようなウィルスチェック等も合わせて実施しましょう。


判定結果例
op-resolver.jpg
この場合、供に問題はありません。プロバイダ側のDNSはともかく、自身のルータ側がリゾルバであると判定されたら上記でも書いたように
ルーターの設定の確認。ファームウェアのアップデート。メーカーへの問い合わせを行ってください。
万が一、プロバイダ側のDNSがリゾルバであるとの判定が出た場合、JPCERTの方で連絡を行ってくれますので
こちらのページの手順に沿って報告をして頂けると幸いです。


水際対策をしておこう Edit

DDoSの中継になってしまったり、その他ウイルスや悪意のあるコード、スクリプトの実行を防ぐには普段からしっかりと備える事が大切です。
常駐型でリアルタイムスキャン機能が搭載されているウイルス対策ソフトのインストールは勿論の事。
Windowsアップデートをしっかりと行っておく。FlashPlayer(※注)やAdobeReader、ExcelやWord等のソフトウェアの更新作業等も大切です。


また、ホームページを閲覧している際に不用意に他者の用意したファイルのダウンロード、リンクのクリックを行わないようにしましょう。
後はメールのやり取りも注意が必要です。差出人不明のメール、それについてくる添付ファイルやリンク、HTML・リッチテキスト形式のメールには特に気をつけましょう。


ということで少しでも危険性を下げれるようにメールの設定に関して少し触れておきましょう。
添付ファイルは開けずに捨てればいいですし、リンクは無視すれば良いのですが、HTMLメールは少し曲者ですのでメールソフトの設定を変えることで
HTML・リッチテキスト形式を変換してテキスト形式として表示する方法を説明します。
今回はおそらく利用者が多いと思われる、Microsoft社のWindowsLiveMailを例とします。
(※元のメールの形式が変わるわけではありません。また、一部のメールが正常に表示されない事がありますので注意してください)


ソフトウェア起動後、左上のメニューボタンをクリックします。
表示される項目よりオプション→メールとクリックして下さい。
オプションウインドウが表示されますので「読み取り」のタブをクリックして表示します。
メッセージの読み取りの設定項目にある「メッセージはすべてテキスト形式で読み取る」のチェックを入れます。
チェックを入れたらOKボタンをクリックして設定を反映させてウインドウを閉じてください。
これにより、受信したメールはテキスト形式で表示され、ウイルスやその他の悪質なスクリプトが実行される危険性を下げる事が可能となります。
また少し横道にそれますが、HTMLメールは規制やチェックではじかれる事もあるので
「送信」のタブをクリックし送信の設定項目にある「受信したメッセージと同じ形式で返信する」のチェックを外す。
送信の形式を「テキスト形式」に設定しておくのも良いかもしれません。
op-livemail.jpg


※注
FlashPlayerに関しては、niconicoに広告を提供しているMicroAd AdFunnel経由で配信された不適切な広告によって
FlashPlayerを騙ったマルウェアのダウンロードサイトに飛ばされる事例が発生したとのこと(詳細1詳細2参考3)。


既に広告配信元のMicroAdにて対策がとられた(MicroAd発表12niconico発表)ようで、
この広告は出なくなったそうですが、その他のサイト・その他の広告配信システムにて類似の広告が出てくる可能性はあります。


手持ちのFlashPlayerのバージョンをチェックし、古い場合はAdobe公式サイトからの最新版ダウンロードを強くお勧めします!
もしも引っかかってしまった可能性がある・心当たりがある場合は、トレンドマイクロの対策方法リリースをご確認ください。


補足:FlashPlayerやAdobeReaderをダウンロードもしくは最新版に更新する際に、提供オプションや提供プログラムとして
GoogleChromeやMcAfeeSecurityScan等のインストールを促がされます。
必要であればインストールするのは構いませんがそういう形でインストール目的のソフトウェアに付随したオプションのソフトウェアに
マルウェア等が含まれているといったことも有りますので、どういったソフトウェアかしっかりと把握した上でインストールを行いましょう。
(※例としてFlashインストール時にオプションがあるという事で、Adobe、Google、McAfeeがマルウェアを配っているという訳では有りません)



ホーム リロード   新規 下位ページ作成 コピー 編集 添付 一覧 最終更新 差分 バックアップ 検索   凍結 名前変更     最終更新のRSS