2014年6月19日DDoS攻撃障害 のバックアップの現在との差分(No.1)
2014年6月19日に発生したPSO2関連サーバー群を狙ったDDoS攻撃によるサービス停止障害についてのまとめ。
メディア
中止した生放送
再開したサービス
停止、中止となったサービス
停止期間PSO2停止期間:2014年6月19日19:18 ~ 6月27日16:30(約8日間) AC購入停止期間:2014年6月19日19:18 ~ 6月30日14:00(約11日間) PSO2es停止期間:2014年6月19日19:18 ~ 7月16日17:45(約27日間) 停止期間6月19日19:18 ~
原因と経過6月19日 6月19日
6月20日
6月21日
6月22日
6月23日
6月24日
6月25日
6月26日
6月27日
6月28日
6月29日
6月30日
7月15日
7月16日
DDoS攻撃とはぶんさんがた‐サービスきょひこうげき【分散型サービス拒否攻撃】 《distributed denial of service attack》コンピューターネットワークを通じて攻撃を行う不正アクセスの一種。悪意ある第三者が多数のパソコンにコンピューターウイルスを送り込んで感染させ、特定のウェブサーバーなどに対し、不正なデータや大量のデータを送りつけるサービス拒否攻撃を仕掛けるよう操る。パソコンの所有者が気づかないまま攻撃に加担してしまうほか、真の犯人を特定することが非常に困難という特徴がある。分散型DoS(ドス)攻撃。DDoS攻撃。 《distributed denial of service attack》コンピューターネットワークを通じて攻撃を行う不正アクセスの一種。悪意ある第三者が多数のパソコンにコンピューターウイルスを送り込んで感染させ、特定のウェブサーバーなどに対し、不正なデータや大量のデータを送りつけるサービス拒否攻撃を仕掛けるよう操る。パソコンの所有者が気づかないまま攻撃に加担してしまうほか、真の犯人を特定することが非常に困難という特徴がある。分散型DoS(ドス)攻撃。DDoS(ディードス)攻撃。 [補説] 2009年に米国や韓国の政府サイトがこの手法で被害を受けたことで知られる。 →分散 デジタル大辞泉 (C) SHOGAKUKAN Inc.1995 1998 2012
※サーバー強化を行うと上記の図では青い川らしきところにかかっている道(橋?)が広くなる。 しかし、送られてくる情報量が受け入れ可能量を上回れば同じ為、 根本解決には大量の情報を送ってきている元を絶つ必要がある。 ※セガサーバーのアドレスなどの変更を行ったとしても、セガのネットゲームをしたり、 セガホームページの閲覧等をするのには結局、セガサーバーに繋ぐ必要があるので、 その情報を元に攻撃先をサーバーの新アドレスなりに再変更して攻撃すれば結局元の木阿弥になるので根本的な対策にはならない。 ※許可されたIPアドレスだけと情報をやりとりするようにして、閉じられたネットワークを目指しても、 物理的にデータをやり取りする線(間に無線を挟む場合も同じ)が繋がっており、 さらに使用するプロトコル(回線でやり取りするためのプログラム、仕組み、規格、決まり)が 同じであれば結局、一般ユーザーと同じ経路も使って送られてくる大量のデータをふるい落とす必要が出てきて、 そのふるい落とす箇所が混雑するので、結局は同じになり、根本解決には至らない。 加担してるかも?と思ったら基本的にはウィルスチェック、マルウェアチェックを掛けるのが良いですが手っ取り早確認するにはパケットモニター等で自身のネットワークを確認するのが早いです。 Microsoft Network Monitor等の専用ソフトを導入するのも良いのですがWindowsVISTA/7/8等、WINDOWSにも簡単ながら確認する方法が有るので記載します。 タクスバー(標準であればデスクトップ画面の下に出ている奴)を右クリックしてメニューを出します。その中に「タクスマネージャーの起動」がある筈なので実行します。 タクスマネージャーが起動したらパフォーマンスのタブをクリックし「リソースモニター」をクリックします。 加担してるかも?と思ったら・自身のPCを確認する 基本的にはウィルスチェック、マルウェアチェックを掛けるのが良いですがチェックに掛からない場合も存在します。 そんな時はMicrosoft Network Monitor等、ネットワーク解析ツールを導入して自身のネットワークを確認するのが良いですが専用ソフトはやや難解な部分がある為 WindowsVISTA/7/8等、WINDOWSにも簡単ながら確認する方法が有るので記載します。 タスクバー(標準であればデスクトップ画面の下に出ている奴)を右クリックしてメニューを出します。その中に「タスクマネージャーの起動」がある筈なので実行します。 タスクマネージャーが起動したらパフォーマンスのタブをクリックし「リソースモニター」をクリックします。 リソースモニターが起動したらネットワークのタブをクリックしてください。どのようなネットワーク活動が行われているか表示されますので大まかに確認するべき項目は 「ネットワーク活動」の合計値、何もしていない状態で数値が異常に多いもしくは短時間に異常に増加する項目がないか確認してください。 「TCP接続」のリモートアドレスでPSO2が使用しているIPの210.129.xxx.xxx(xxxは複数該当値があり)に対してPSO2を起動していないのにアクセスしていないか確認してください。 「TCP接続」のリモートアドレスでPSO2サーバーが使用しているIPアドレスである210.129.xxx.xxx(xxxは複数該当値があり)に対して、PSO2を起動していないのにアクセスしていないかを確認してください。 これで確実に判明するという物では有りませんが目安にはなると思われますので不安な方はチェックしてみると良いでしょう。 万が一、上記のような怪しい症状が出ている場合、ネットワークを切断の上、ウィルス、マルウェアスキャン等をフルスキャンで実施する。 該当するプロセスを停止・削除(※但しよく判らず削除するのは逆に危険)させてみる等 方法は色々あるのですが必ずしも確実ではないので最悪、必要なデータをバックアップの上、クリーンインストール、初期化リカバリーの実施も検討してください。 ※上記はPC、Windows系OSにおける対処法です。 DDoS攻撃における踏み台は最近はPCだけでなくスマートフォン、タブレット等も利用されることがあります。 何もしてないのにバッテリーの減りが通常より早い、本体が異常に熱くなっている等の症状がある場合はウイルスチェック等してみると良いでしょう。 上記の記述内容では内容が半端すぎた為、ちょっと混乱を招く部分がありましたので追記させて頂きます。 あくまで個人的な考えですが、合計値が異常と言うのは10000をあっさり超えたりとか、送信+受信の値と大きく合計が極端に離れているものと思っています。 そういったプロセスがあった場合は「ネットワーク活動のプロセス」のイメージ部の名前の□にチェックを入れて抽出作業を行います。 そして、そのプロセスがどういった物なのか(参考画像はIEですのでブラウザですが)確認してください。 そしてそのプロセスのリモートアドレスを確認すると良いでしょう。 リモートアドレスが使用しているOSやソフトウェアのメーカーのIPアドレスであれば基本的には問題は有りませんが、全く関係ないアドレスであれば注意した方が良いかもしれません。 表示されるIPアドレスの検索には検索エンジンでIPアドレスを直接検索したりIPサーチを提供しているページ等を利用しましょう。(例:CMANインターネットサービス) ・使用しているルータを確認する ルーターにはDNSサーバーとして外部からの再帰的な問い合わせを許可したり、しなかったりする設定・機能があります。 許可状態である状態をオープンリゾルバと言います。この状態になっているとDDoSの中継としてルータが利用されることがあります。 基本的にルータ側に設定があるのですが状態を確認できるサイトがありますので紹介します。 JPCERT コーディネーションセンター のオープンリゾルバ確認サイトになります。 こちらのサイトを利用し、確認して頂き、判定内容によっては使用しているルータの設定変更やメーカーへの問い合わせをしてみると良いかもしれません。 判定結果が2種類とも「オープンリゾルバではありません」の場合はひとまず安心ですが、あくまで「オープンリゾルバを使った攻撃手法には悪用されない」というだけです。 上記のようなウィルスチェック等も合わせて実施しましょう。 判定結果例 この場合、供に問題はありません。プロバイダ側のDNSはともかく、自身のルータ側がリゾルバであると判定されたら上記でも書いたように ルーターの設定の確認。ファームウェアのアップデート。メーカーへの問い合わせを行ってください。 万が一、プロバイダ側のDNSがリゾルバであるとの判定が出た場合、JPCERTの方で連絡を行ってくれますので こちらのページの手順に沿って報告をして頂けると幸いです。 水際対策をしておこうDDoSの中継になってしまったり、その他ウイルスや悪意のあるコード、スクリプトの実行を防ぐには普段からしっかりと備える事が大切です。 常駐型でリアルタイムスキャン機能が搭載されているウイルス対策ソフトのインストールは勿論の事。 Windows Updateをしっかりと行っておく。Flash Player(※注)やAdobe Reader、ExcelやWord等のソフトウェアの更新作業等も大切です。 また、ホームページを閲覧している際に不用意に他者の用意したファイルのダウンロード、リンクのクリックを行わないようにしましょう。 後はメールのやり取りも注意が必要です。差出人不明のメール、それについてくる添付ファイルやリンク、HTML・リッチテキスト形式のメールには特に気をつけましょう。 ということで少しでも危険性を下げれるようにメールの設定に関して少し触れておきましょう。 添付ファイルは開けずに捨てればいいですし、リンクは無視すれば良いのですが、HTMLメールは少し曲者ですのでメールソフトの設定を変えることで HTML・リッチテキスト形式を変換してテキスト形式として表示する方法を説明します。 今回はおそらく利用者が多いと思われる、Microsoft社のWindows Live Mailを例とします。 (※元のメールの形式が変わるわけではありません。また、一部のメールが正常に表示されない事がありますので注意してください) ソフトウェア起動後、左上のメニューボタンをクリックします。 表示される項目よりオプション→メールとクリックして下さい。 オプションウインドウが表示されますので「読み取り」のタブをクリックして表示します。 メッセージの読み取りの設定項目にある「メッセージはすべてテキスト形式で読み取る」のチェックを入れます。 チェックを入れたらOKボタンをクリックして設定を反映させてウインドウを閉じてください。 これにより、受信したメールはテキスト形式で表示され、ウイルスやその他の悪質なスクリプトが実行される危険性を下げる事が可能となります。 また少し横道にそれますが、HTMLメールは規制やチェックではじかれる事もあるので 「送信」のタブをクリックし送信の設定項目にある「受信したメッセージと同じ形式で返信する」のチェックを外す。 送信の形式を「テキスト形式」に設定しておくのも良いかもしれません。 ※注 Flash Playerに関しては、niconicoに広告を提供しているMicroAd AdFunnel経由で配信された不適切な広告によって Flash Playerを騙ったマルウェアのダウンロードサイトに飛ばされる事例が発生したとのこと(詳細1、詳細2、参考3)。 既に広告配信元のMicroAdにて対策がとられた(MicroAd発表1、2、niconico発表)ようで、 この広告は出なくなったそうですが、その他のサイト・その他の広告配信システムにて類似の広告が出てくる可能性はあります。 手持ちのFlash Playerのバージョンをチェックし、古い場合はAdobe公式サイトからの最新版ダウンロードを強くお勧めします! もしも引っかかってしまった可能性がある・心当たりがある場合は、トレンドマイクロの対策方法リリースをご確認ください。 補足:Flash PlayerやAdobe Readerをダウンロードもしくは最新版に更新する際に、提供オプションや提供プログラムとして Google ChromeやMcAfee Security Scan Plus等のインストールを促されます。 必要であればインストールするのは構いませんがそういう形でインストール目的のソフトウェアに付随したオプションのソフトウェアに マルウェア等が含まれているといったことも有りますので、どういったソフトウェアかしっかりと把握した上でインストールを行いましょう。 (※例としてFlashインストール時にオプションがあるという事で、Adobe、Google、McAfeeがマルウェアを配っているという訳では有りません) |
ファンタシースターオンライン2(PSO2) 攻略 Wiki
このWIKIで使用されている画像や文章データは株式会社セガに帰属します。(C)SEGA